صعدة برس-متابغات - يسارع مصممو برامج تصفح الانترنت إلى معالجة ثغرة أمنية يستغلها لصوص الانترنت بانتحال صفة شبكة غوغل+
وتتمثل هذه الثغرة في عملية التحقق من هوية الموقع، التي تستخدمها برامج التصفح.
واستطاع لصوص الانترنت، باستخدام بيانات هوية مزيفة، أن ينشئوا موقعا ينتحل صفة الانتماء إلى شبكة غوغل+، وتبين أن بيانات الهوية المزيفة تعود لشركة أمن تركية تدعى "ترك تراست"، استخدمت هذه البيانات بالخطأ.
وكشف تحقيق قامت به "ترك تراست" أنها استخدمت في أغسطس مرتين، بالصدفة، النوع الخاطئ لبينات الهوية، وهو نوع من التعريف يسمى الشهادة المتوسطة. وبدل أن تصدر شهادة المستوى الأدنى، كشفت بالخطأ عن "المفتاح الرئيسي" الذي يعطى فقط لمالكي المواقع.
ويعد "المفتاح الرئيسي" ضمانا لهوية الموقع.
وكتب محلل الشؤون الأمنية شيستر ويزنيوسكي، من سوفوس، على مدونته ،بخصوص الثغرة الأمنية: "يمكن استخدام هذه الشهادات لانتحال صفة أي موقع لدى أي متصفح دون إنذار المستخدم النهائي بوجود أي مشكل".
ويقول إن هذه الشهادات مهمة لأن ضمان التعاملات التجارية وخدمات الأنترنت الأخرى مرتبط بالتبادل بين "المفتاح الرئيسي" والبيانات ذات المستوى الأمني الأدنى.
وتم كشف الثغرة عندما لاحظت متصفح "غوغل كروم" البيانات المزيفة خلال مراقبة آلية.
وقد أدخل كل من غوغل، ومايكروسوفت وموزيلا، مطور فايرفوكس، تحديثات ترفض الشهادات الأمنية الرئيسية المزيفة. إضافة إلى ذلك، فقد أدخل موزيلا تحديثا على فايرفوكس يرفض أي شهادة صادرة عن "ترك تراست"، بينما يحقق مصمم المتصفح في الثغرة الأمنية.
وليست هذه هي المرة الأولى التي تطرأ فيها مشاكل الشهادات الأمنية بين المواقع ومصممي متصفح الانترنت. فقد أصدرت العديد من الشركات الأخرى شهادات أمنية مزيفة قبلها، وكشفت بذلك عن بيانات سرية، من بينها اسم المستخدم وكلمة السر.
ويضيف ويزنيوسكي في مدونته قائلا: " لقد حان الوقت فعلا للتخلي عن هذا النظام الذي عمر20 عاما، إلى جانب سوء استخدامه".
بي بي سي |