חברת סייבר ישראלית גילתה באג בכרום שיכול לחשוף את הגיל שלכם

חברת הסייבר Imperva גילתה באג ב-Chrome שמאפשר לתוקף לחשוף לאט לאט את הפרטים האישיים שלכם

מקור: גיקטיים

כרום הפך תוך שנים לדפדפן הנפוץ ביותר בעולם, עם נתח שוק אדיר של יותר מחצי משוק הדפדפנים. על כן, הוא מטרה גדולה עבור האקרים, וכל בעיית אבטחה שמתגלה בו משפיעה על כמות משתמשים כמעט בלתי נתפסת. חברת הסייבר הישראלית Imperva (אימפרבה) חשפה באג חדש בדפדפן המאוד פופולארי של גוגל, שיכול לאפשר להאקר לשחק עם הדפדפן שלכם סוג של משחק של “20 שאלות” או “נחש מי”.

התוקף יכול לגלות מידע פרטי באמצעות בקשות

כלים פשוטים של פייסבוק יכולים לשמש להשגת מידע. מקור: אימפרבה

לפי הדיווח של אימפרבה, הבאג משפיע על כל הדפדפנים אשר מריצים את מנוע Blink, ובינהם כרום של גוגל אשר מחזיק בנתח שוק של 58% מאוכלוסיית האינטרנט. הבאג משתמש בתגיות וידאו ואודיו HTML נסתרות שמוזרקות לאתרים זדוניים כדי לשלוח לתוקף בקשות. התוקף יכול לעקוב אחרי התוצאות שמופקות על ידי הבקשות, ובעצם לשחק סוג של משחק אלימינציה על מידע באמצעות שאלות של “כן” ו”לא”.

כך למשל, מדגימים באימפרבה, יכול תוקף פוטנציאלי, לאחר “הזרקה” של קוד התקיפה דרך אתר זדוני, לנצל את הבאג עם פלטפורמות כמו פייסבוק וגוגל כדי לגלות מידע פרטי על זהות המשתמש: באמצעות יצירת פוסט בפייסבוק אשר מוגדר לגילאים מסוימים, ובדיקה חוזרת ונשנית של התגובה לפוסט זה באמצעות אותן תגיות (על ידי Event מסוג On Progress), התוקף יכול לגלות למשל את גיל המשתמש. תגובה גדולה בנפחה תעיד על כך שצמצום הנתונים לא עבד, ותגובה קטנה תעיד על כך שהתוכן הוגבל בפני המשתמש, ועל כן הוא ככל הנראה לא נמצא בתחומי ההגבלה.

מכאן התוקף יכול ליצור עוד פוסטים מוגבלים על פי מין המשתמש, העדפות, לייקים ותחומים נוספים במהירות במקביל לסקריפטים מרובים ומבלי שהמשתמש יודע שהתהליך מתרחש. במתקפה פוטנציאלית מסוג חמור יותר, כך מסבירים בחברה, התוקף יכול להריץ סקריפט על גבי אתר עם פונקציית הרשמה דרך אימייל, ובאותו אופן להצליב את הנתונים הפרטיים של המשתמש עם האימייל שלו, ובכך אולי לאפשר לו פריצות עתידיות ואיסוף של מידע נוסף.

קוד מתקפה לדוגמה. מקור: אימפרבה

החדשות הטובות הן שאימפרבה דיווחה על הבאג הזה לגוגל, שכבר הטמיעה את הפתרון בגירסה 68 של כרום שיצאה כבר לפני זמן מה, ועל כן מומלץ לבדוק כבר עכשיו אם הדפדפן שלכם מעודכן לגירסה האחרונה. לחצו על לחצן שלוש הנקודות (מתחת לכפתור היציאה), Help ו-About Google Chrome. שם תוכלו לראות את מספר הגירסה עליה הכרום שלכם רץ.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

להגיב

אין תגובות

תגיות לכתבה: