به گزارش مهر، یک پژوهشگر گوگل آسیبپذیری حساسی در مرورگرهای مدرن کشف کرده که میتواند محتوای حسابهای آنلاین که در وبسایتها وارد شده است را به سرقت ببرد.
این آسیبپذیری در نحوه اداره درخواستهای وبگاه به فایلهای ویدئویی و صوتی است که در صورت سوءاستفاده از این آسیبپذیری، مهاجم از راه دور میتواند حتی محتوای GMAIL یا پیامهای خصوصی فیسبوک را بخواند.
براین اساس اعلام مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری (افتا)، به دلایل امنیتی، مرورگرهای مدرن به وبسایتها اجازه نمیدهند که درخواستهای متقابل به یک دامنه متفاوت ایجاد کنند، مگر اینکه به دامنهای اجازه مجزا داده شود. بدین معنی که هر وبسایتی تنها میتواند دادهها را از همان مبدا که بارگیری شده است، درخواست کند.
این کار باعث میشود که از هرگونه درخواست غیر مجاز به جهت سرقت اطلاعات از سایر سایتها جلوگیری شود. هرچند که مرورگرها در قبال فایلهای ویدئویی و صوتی چنین محدودیتی ندارند و امکان دریافت آنها از سایر وبگاهها وجود دارد.
علاوه بر این، مرورگرها قابلیتی دارند که محتوای جزئی فایلهای رسانهای بزرگ را ارائه دهند که در حین پخش رسانههای بزرگ و یا دانلود فایلها با قابلیت resume مورد استفاده قرار میگیرند. به عبارت دیگر عناصر رسانهای این قابلیت را دارند قطعات مختلف پاسخها را به یکدیگر متصل کند و به عنوان یک فایل واحد با آن برخورد شود.
پژوهشگران متوجه شدند که مرورگرهای Mozilla و Edge اجازه میدهند تا عناصر رسانهای با دادههای قابل مشاهده و مبهم از منابع مختلف با یکدیگر ترکیب شوند. این مورد باعث میشود تا مهاجمان بتوانند حملات پیشرفتهای را انجام دهند. این آسیبپذیری با نام Wavethrough معرفی شده است.
به گفته پژوهشگران این آسیبپذیری میتواند از طریق یک وبسایت مخرب و با استفاده از فایل رسانهای جاسازی شده در صفحه، مورد سوءاستفاده قرار گیرد. زمانی که فایل رسانهای پخش میشود، بخشی از آن از سرور خود سایت و بخش دیگر از منبعی دیگر دریافت میشود که مرورگر را وادار به انجام درخواست متقابل یا cross-origin میکند.
پژوهشگری که این آسیبپذیری را معرفی کرده است، اثبات مفهومی (PoC) و نحوه عملکرد آنرا در یک ویدئو منتشر کرده است. در این ویدئو نمایش داده میشود که اطلاعات خصوصی جیمیل و فیسبوک از طریق این آسیبپذیری قابل دریافت است.
از آنجایی که کروم (Chrome ) و سافاری ( Safari ) در حال حاضر برای جلوگیری از چنین درخواستهای متقابلی قوانینی درج کردهاند، از کاربرانشان در قبال اینگونه حملات محافظت شده است.
مرورگرهای Firefox و Edge نیز پس از مطلع شدن از این آسیبپذیری، با بروزرسانی، آن را برطرف کردهاند.
از این رو، به کاربران این دو مرورگر توصیه میشود تا اطمنیان حاصل کنند که از آخرین نسخه آنها استفاده میکنند.
نظر شما