يمكن أن تؤدي عيوب Google Desktop وIE إلى هجمات تصيد

ستساعدك المقالة التالية: يمكن أن تؤدي عيوب Google Desktop وIE إلى هجمات تصيد

يمكن أن تؤدي عيوب Google Desktop وIE إلى هجمات تصيد

أطلق Matton Gillon العنان لتقرير إثبات المفهوم الذي يشرح كيف يمكن للمرء الاستفادة من Microsoft Internet Explorer للوصول إلى المعلومات الشخصية عبر Google Desktop. يكتب جيلون أن المؤامرات الأخيرة حول إمكانية استخدام Google Desktop لاسترجاع البيانات عن بعد لبيانات المستخدم الشخصية عبر موقع ويب. وأنه “بفضل خلل خطير في التصميم في Internet Explorer، تمكنت من إظهار أنه من الممكن إجراء عمليات بحث سرًا على زوار موقع الويب من خلال استغلال هذه الثغرة الأمنية.”

يواصل جيلون شرح العملية على hacker.co.il في المنشور “كشف سطح مكتب Google: استغلال ثغرة أمنية في Internet Explorer لتصيد معلومات المستخدم“. يشرح جيلون الثغرات الأمنية في عمليات استيراد IE CSS وكيف يمكن الوصول إلى حسابات Google عبر Google Desktop:

عادةً، تفرض المتصفحات قيودًا قوية على التفاعل عبر النطاق من خلال متصفح الويب. يمكن لصفحة ويب معينة أن تجعل المستخدم يتصفح إلى مجال مختلف. ومع ذلك، لا يجوز له قراءة محتوى الصفحة المستردة أو التعامل مع أي من كائنات DOM الخاصة بها. تم فرض هذا القيد بحيث لا يتمكن أحد مالكي الموقع من التجسس على عادات تصفح المستخدم باستخدام جافا سكريبت.

وأيضًا، إذا قام المستخدم بتسجيل الدخول بالفعل إلى خدمة معينة (مثل Gmail أو hotmail)، فمن الممكن أن تقوم صفحة ويب ضارة بتنفيذ عمليات معينة في حساب المستخدم (مثل فتح بريد إلكتروني وقراءته) إذا لم تكن القيود موجودة مكان. في IE، يتم الاحتفاظ بهذه القيود تمامًا ولكن يتم كسرها عندما يتعلق الأمر بواردات CSS. أسمي هذا الهجوم CSSXSS أو Cascading Style Sheets Cross Site Scripting.

نحن نتطلع إلى رد Google على أبحاث التصيد الاحتيالي لسطح مكتب Google التي أجراها جيلون.