السبت , 25 نوفمبر 2017

صائدو جوائز أمن المعلومات يكشفون النقاب عن 8 ثغرات في خدمات جوجل

قام باحثوا أمن المعلومات والذين يسمون أنفسهم بصائدي جوائز الكشف عن الأخطاء الأمنية الخميس قبل الماضي بالكشف عن 8 ثغرات في خدمات جوجل وذلك في مؤتمر”Hack in the Box” في أمستردام نعرض لكم بعضا منها.

تم اكتشاف هذه الثغرات في خدمات جوجل الآتية: جوجل بلوجر Blogger وخدمة التحليلات Analytics وخدمة التقويم Calendar و فيدبورنر Feedburner ونول knol وفريندكونيكت  FriendConnect وبيكنك Picnik وأخيرا خدمة الأفلييت  Google Affiliate Network.

قال أحد الباحثين والذي يدعى إتزهاك أفراهام وهو باحث في أمن المعلومات ومؤسس شركة زيمبريام Zimperium والتي توجد في تل أبيب أن أهم تلك الثغرات هي الخاصة بالتقويم وأيضا الخاصة بخدمة التحليلات وأخبر هو و زميله نير جولدشلاجر الباحث أيضا في أمن المعلومات أن أغلبية ثغرات جوجل تكون عبارة عن برمجة-عبر-المواقع Cross-Site-Scripting وتختصر XSS والذي يتيح تشغيل شفرة برمجيات خبيثة من موقع حيث تبدو وكأنها تأتي من موقع آخر حينها لا يقتصر الأمر على سرقة بيانات الضحية فقط ولكن يمكن استخدامها في اختراق حاسوب الضحية أيضا وعلق إفراهام على ذلك قائلا “إن  اختراق Gmail الخاص بالضحية لا يمكن أن يكون أكثر إمتاعا من اختراق حاسوبه “.

خدمة التقويم من جوجل

خدمة التقويم من جوجل

أما عن الثغرة الخاصة بالتقويم فقد قال إفراهام  أنها من نوعه المفضل حيث أنها تتيح لك أن يقوم المستخدم بتشغيل الثغرة نيابة عنك وتحدث باستغلال خطأ في خيارات المشاركة الموجودة في التقويم حيث يقوم المهاجم بمشاركة موضوع في تقويمه مع الضحية أكثر من خمس مرات فيقوم المستخدم بمحاولة حذفها وبعد حذفها جميعا يظهر للمستخدم رسالة خطأ تحبره بأنه لا يمكن تحميل هذا الموضوع في التقويم بعدها والذي تقوم بدورها بتشغيل هجوم الـ XSS الذي يمنح المهاجم القدرة على اختراق حاسوب الضحية.

خدمة التحليلات من جوجل

خدمة التحليلات من جوجل

نعرض أيضا الثغرة التي جاءت في خدمة تحرير الصور بيكنك حيث أنها حدثت لأن الخدمة تضمنت إصدارا قديم من تطبيق البريد مفتوح المصدر والذي يسمى phpList والذي أخبر الباحثان أنه ملئ بالثغرات وأضافا أن جوجل قد أخطأت أيضا حينما قامت باستخدام اسم المستخدم وكلمة المرور الافتراضيين لهذا التطبيق وعلق جولدشلاجر ” كانت هذه غلطة كبيرة حقا” وأضافا أنه فور كشفهما عن هذه الثغرة لجوجل تم طرد الشخص المسئول عن ال phpList  وذلك لأن ثغرة كهذه كانت من الممكن أن تؤدي إلى اختراق كامل للخادوم , هذا وقد حصل باحثا أمن المعلومات على 3,133.70 دولارا أمريكيا لاكتشافهما هذه الثغرة فقط.

خدمة تحرير الصور من جوجل "بيكنك"

خدمة تحرير الصور جوجل بيكنك

وقد أخبر الباحثان أن جوجل قد قامت بإصلاح جميع الثغرات سالفة الذكر قبل بدء المؤتمر وهذا قبل إنهائهما عرض هذه الثغرات في مؤتمر الـ Hack in the Box.

لقد أعجبتي مهارتهم حقا وأود يوما أن أكون واحدا منهم , هل تود أن تكون واحدا منهم  ؟!! يسرني استقبال تعليقاتكم .

2 تعليقان

  1. بصراحه نزلوا ده

  2. يآآسلام .. متعة ومال في نفس الوقت

اضف رد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*