Follow ICT
شعار الموقع الاساسى
جايزة 160
جايزة 160

اكتشاف ثغرة أمنية تتيح للقراصنة السيطرة على حسابات جوجل

كتب نور محمد

اكتشف باحثون، أسلوب جديد من الاختراق تتبعه بضع برمجيات خبيثة، تستهدف سرقة البيانات من الحواسيب الشخصية، وتتيح للمخترق الاستيلاء على حسابات جوجل الشخصية، حتى وإن تم تغيير كلمات مرورها.

الباحثون بشركة “كلاود سيك” الأمنية، قالوا أهن الهجوم الجديد يعتمد على ثغرة صفرية zero-day، اكتشفها فريق مخترقين يُدعى PRISMA في أكتوبر، وكان قد نشر عبر قناته على تليجرام حول الثغرة وطريقة استغلاله لها لسرقة حسابات جوجل.

ويقوم أسلوب الاختراق الجديد على استغلال ميزة في نظام جوجل لتأكيد الهوية Google OAuth، تُسمى بـMultiLogin.

تلك الميزة تسمح بمزامنة الحسابات المُسجل دخولها على متن خدمات جوجل المختلفة على جهاز المستخدم، وذلك من خلال قبول بيانات تعريف حسابات المستخدم وكذلك مفاتيح تعريف الهوية عند تسجيل الدخول auth-login tokens.

وبحسب ما نشره موقع Bleeping Computer، تعمل الميزة على واجهة برمجية تُسمى Gaia Auth API تابعة لجوجل، كي تتأكد خدمات جوجل من تناسق الحسابات المُسجل الدخول بها من خلالها مع الحسابات المسجلة على متصفح الويب جوجل كروم.

وذكر تقرير “كلاود سيك” أن البيانات التي تستهدف سرقتها البرمجيات الخبيثة تتمثل في جزءين من المعلومات، الأول هو بيانات تعريفية GAIA ID، والجزء الثاني هو مفتاح مُشفر Encrypted_Token.

ويتم فك تشفير المفتاح المُشفر من خلال أداة برمجية مخزنة في ملف ضمن ملفات النظام في متصفح جوجل كروم، يحمل اسم Local State، وهي أداة تُستخدم في فك تشفير كلمات المرور المخزنة في المتصفح.

وأشار الباحثون إلى أن المخترق، بعد الاستيلاء على تلك البيانات، يُصبح بإمكانه إعادة إنشاء ملفات الارتباط “كوكيز” الخاصة بخدمات جوجل، مما يتيح له وصولاً كاملاً إلى حسابات المُستخدم.

وفي حالة تغيير المستخدم كلمة المرور، سيتمكن المخترق عبر الأسلوب الجديد من إعادة إنشاء ملفات الارتباط مرة واحدة فقط.

بينما في حال عدم تغيير كلمة المرور، يمكنه إعادة إنشاء ملفات الارتباط أكثر من مرة إلى ما لا نهاية، مما يضمن سيطرته على حساب المستخدم، حتى وإن سجّل خروجه من جميع أجهزته، وسجل الدخول من جهاز جديد كلياً.

وأشار التقرير إلى أن هناك، حتى الآن، 6 برمجيات خبيثة تستخدم أسلوب الهجوم الجديد بدأت في الانتشار خلال نوفمبر وديسمبر 2023، منها 4 برمجيات بدأت هجماتها بالفعل خلال شهر واحد.

وذكر “بلييبينج كمبيوتر” أنه رصد، في نوفمبر، برمجيتين لسرقة البيانات تستخدمان الثغرة، وهما Lumma وRhadamanthys، وبادر إلى إبلاغ جوجل مرات عديدة طوال شهر كامل، لكن دون رد.

ورغم ذلك، لم تعلق “جوجل” بشكل رسمي على وجود الثغرة أو استغلالها في هجمات تهدد خصوصية المستخدمين، وتنتهك سلامتهم الرقمية.

أيضًا قد تفضل قراءة المزيد من الكاتب