شکاف امنیتی در ابزار امنیتی گوگل - هک افزونه Password Alert

13 اردیبهشت 1394 4303 بازدید

پس از گذشت مدت کوتاهی از ارائه راهکار یا افزونه‌ی گوگل (Chrome Password Alert extension) برای کاربران این شرکت بمنظور هشدار به هنگام ورود به وبسایت‌های جعلی و جلوگیری از حملات فیشینگ، محققی امنیتی مؤفق به ابداع روشی برای رد شدن از این دیوار حفاظتی شد.

 کسپرسکی

افزونه Password Alert extension که اخیراً طراحی و ارائه شده است، بهنگام ورود کاربران به وبسایت‌های جعلی و کلاهبرداری واقدام به وارد نمودن کلمات عبور گوگل خود، به کاربران هشدار می‌دهد. هدف اصلی طراحی این افزونه محافظت از کاربران در مقابل حملات فیشینگ است که علیرغم یک دهه تحقیقات و بررسی و البته هشدارها و آموزشهای شرکت های امنیتی در خصوص این حملات همچنان یکی از جدی ترین تهدیدات سایبری برای کاربران بویژه خریداران آنلاین بشمار می‌رود.

 

Drew Hintz و Justin Kosslyn دو تن از کاشناسان امنیتی شرکت گوگل در خصوص این افزونه اینگونه نوشته اند که «با فعالسازی و استفاده از افزونه Password Alert روی گوگل کروم، این مرورگر در صورت تلاش شما برای ورود اطلاعات کاربری گوگل در وبسایتی غیر از وبسایت این شرکت، به شما هشدار میدهد. همچنین در صورت وارد نمودن اطلاعات بلافاصله از کاربر میخواهد تا کلمه عبور خود را تغییر دهد و لینک و اطلاعات مربوطه را در اختیار وی قرار میدهد.»

 

این پیغام یا هشدار را در تصویر زیر مشاهده می‌نمایید:

 

درست یک روز پس از انتشار این افزونه، یک کارشناس و مشاور امنیت سایبری در انگلیس بنام Paul Moore، روشی را برای دور زدن این افزونه امنیتی یافت. آین روش که با کمک جاوا اسکریپت انجام میپذیرد، صفحه هشدار گوگل را مسدود میسازد و کاربر دیگر هشداری دریافت نمیکند. بدین ترتیب، طبق گزارشی که روی پورتال Ars Technica منتشر گردیده است. پاول مور در یک ایمیلی در همین مورد، همچنین اظهار داشت که نوشتن کدی برای دور زدن یا مسدودسازی این افزونه تنها 2 دقیقه طول کشید، که البته گوگل نیز بلافاصله اقدام به برطرف سازی این ضعف افزونه نمود.

 

با اینحال، پاول مور، کارشناس امنیتی سمج، اقدام به بررسی مجدد و دقیقتر این افزونه و البته خود کروم نمود و مؤفق به یافتن روشی دیگر شد. که به عقیده خودش احتمال برطرف سازی و اصلاح این باگ برای گوگل بسیار سخت تر بنظر می‌رسید.

 

وی اظهار داشت: «اصلاح افزونه برای ممانعت از این روش دوم غیرفعالسازی یا رد شدن از این افزونه شاید ناممکن نباشد ولی بسیار دشوار خواهد بود چرا که این روش تنها مبتنی بر افزونه نبوده و با توجه به تغییراتی که در کروم ایجاد میشود این مورد قابل اصلاح از طریق بروزرسانی افزونه نمی‌باشد.»

 

با این روش، Moore به افزونه اجازه خواندن کامل کلمه عبوری که کاربر در وبسایت‌ها وارد می‌نماید را نمیدهد و بدین ترتیب این افزونه هشداری به کاربر قربانی نخواهد داد. همچنین در صورتی که افزونه به هر طریقی مؤفق به شناسایی کلمه عبور شد، نمایش صفحه آن نیز توسط کدی که Moore نوشته است به 5 میلی ثانیه کاهش می یابد که نمایش و مشاهده آن تقریباً ناممکن میگردد.

 

کارشناسان شرکت کسپرسکی* در گزارشی فنی در این خصوص بخش اصلی کدهای مورد استفاده ی این کارشناس را نیز منتشر نمودند که از اینجا قابل مشاهده است.

 

پاول همچنین مدعی است که یافتن این روش و نوشتن کد مربوطه نیز برای وی تنها در 20 دقیقه به طول انجامیده و همچنان ایرادات امنیتی بیشتر و جدی‌تری وجود دارد که لااقل از شرکت گوگل انتظار دارد تا هر چه سریعتر نسبت به رفع آنان بکوشد.

 

همچنین لازم به ذکر است محصولات امنیتی مختلف شرکت کسپرسکی از جمله کسپرسکی آنتی ویروس ، کسپرسکی اینترنت سکیوریتی و کاملترین محصول خانگی یعنی کسپرسکی توتال سکیوریتی سیستم و اطلاعات شما را در مقابل تمامی روشها و حملات فیشینگ، و همچنین انواع بدافزارها و تهدیدات سایبری بصورت کامل محافظت می‌نماید. 

 

منبع: کسپرسکی آنلاین

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.