باحثان أمنيان يكتشفان ثغرة خطيرة في غوغل .. تعرف عليها

     
شبكة اليمن الاخبارية             عدد المشاهدات : 72 مشاهده       تفاصيل الخبر       الصحافة نت
باحثان أمنيان يكتشفان ثغرة خطيرة في غوغل .. تعرف عليها

مشاهدات

اكتشف باحثا الأمن السيبراني "بروتكات" (Brutecat) و"ناثان" (Nathan) ثغرة أمنية خطيرة في واجهة برمجة التطبيقات "إيه بي آي" (API) الخاصة بكل من يوتيوب و"بيكسل ريكوردر" (Pixel Recorder) تعرض عناوين البريد الإلكتروني للمستخدمين، وهو ما يُعد انتهاكا كبيرا للخصوصية، وفقا لتقرير نشره موقع "بليبنغ كمبيوتر".

وأكدت غوغل أنها أصلحت الثغرة والتي من خلالها يحصل المهاجمون على معرفات "غوغل غايا" (Google Gaia)، ومن ثم يعرفون عناوين البريد الإلكتروني الخاصة بالمستخدمين.

ومن الجدير بالذكر أن معرفة عنوان البريد الإلكتروني التابع لقناة على اليوتيوب يُعد خطرا كبيرا على خصوصية المستخدمين ولاسيما صُناع المحتوى والمبلغين عن المخالفات والنشطاء الذين يحرصون على إبقاء هوياتهم مجهولة على الإنترنت.

كيف تعمل الثغرة؟

اكتشف "بروتكات" الجزء الأول من الهجوم والذي كان متاحا للاستغلال منذ شهر، حيث وجد أن حظر مستخدم ما على يوتيوب يكشف عن معرف داخلي فريد تستخدمه غوغل في جميع منصاتها مثل "جيميل" (Gmail) و"درايف" (Drive) وغيرهما والذي يسمى "غايا آي دي" (Gaia ID) ولكل مستخدم معرف خاص به.

وبعد ذلك وجد "بروتكات" أن النقر على الثلاث نقاط للوصول إلى زر الحظر في ملف محادثة المستخدم يؤدي إلى تشغيل طلب واجهة برمجة التطبيقات والذي يكشف بدوره عن "غايا آي دي" الخاص بالمستخدم.

ويُعد هذا الإجراء رغم بساطته ثغرة أمنية خطيرة لأنها تكشف عن المعرفات الخاصة بحسابات "يوتيوب" والتي يُفترض استخدامها داخليا فقط، ولكن بعد أن تمكن "بروتكات" من استخراج "غايا آي دي" الخاصة بالمستخدمين، شرع في معرفة ما إذا كان بإمكانه الكشف عن عناوين البريد الإلكتروني المرتبطة بكل معرف.

وبمساعدة "ناثان" افترض الباحثان أنهما يستطيعان القيام بذلك باستخدام منتجات غوغل القديمة والمنسية لأنها ربما قد تحتوي على بعض الأخطاء أو العيوب لتحويل "غايا آي دي" إلى عناوين بريد إلكتروني.

وباستخدام تطبيق "بيكسل ريكوردر" الخاص بشركة غوغل، اختبر الباحثان مشاركة تسجيل يحتوي على "غايا آي دي" مشفر ومنعوا المستخدم من تلقي إشعار بالبريد الإلكتروني عن طريق إعادة تسمية الملف باسم مكون من 2.5 مليون حرف، مما أدى إلى تعطيل نظام إشعار البريد الإلكتروني نظرا لطوله الشديد.

وبما أن الضحية الافتراضية لن تتلقى إشعارا، أرسل الباحثان طلب مشاركة الملف مع معرف "غايا آي دي" مما أدى إلى تحويل المعرف إلى عنوان بريد إلكتروني بالفعل.

وبفضل الباحثين الأمنيين "بروتكات" و"ناثان" تمكنت غوغل من إغلاق الثغرة ومنع المتسللين من الوصول إلى عناوين البريد الإلكتروني المرتبطة بحسابات يوتيوب.

ولكن رغم اكتشاف الثغرة في سبتمبر/أيلول الماضي، فإن غوغل أصلحتها في 9 فبراير/شباط الجاري، كما أكدت عدم وجود أي علامات تدل على استغلال هذه الثغرة بشكل فعّال.


Google Newsstand تابعوا آخر أخبارنا المحلية وآخر المستجدات السياسية والإقتصادية عبر Google news


تابعنا على يوتيوب

تابعنا على تويتر

تابعنا على تيليجرام

تابعنا على فيسبوك

ماذا حدث في أبين؟ هروب جماعي يثير الرعب في مناطق الساحل

نيوز لاين | 619 قراءة 

البنك المركزي يوقف تراخيص 13 شركة ومنشأة صرافة لمخالفتها التعليمات

حشد نت | 605 قراءة 

صيد جديد بأيدي قوات العمالقة في باب المندب

تهامة 24 | 573 قراءة 

وزير خارجية الحوثي يغادر البلاد عبر مطار عدن.. بضغوط هذه الدول بعد أسبوعين من الاعتقال

نافذة اليمن | 506 قراءة 

فتحي بن لزرق يكشف عبر مصادر اكدت له ترحيل احدى الشخصيات التابعة للحوثيين المعتقله لدى الحكومة الشرعية (الاسم والصورة)

المشهد الدولي | 485 قراءة 

عاجل : اطلاق سراح هشام شرف الدين "تفاصيل الصفقة "

جهينة يمن | 357 قراءة 

الكشف عن امر خطير بشان البطاقة الشخصية بعدن

جهينة يمن | 331 قراءة 

قبائل خولان تقوم بهذا العمل من اعلى قمم الجبال بعد رسالة وجهها الشيخ محمد بن احمد الزايدي لقبائله وكل قبائل اليمن تفاصيل

المشهد الدولي | 295 قراءة 

عاجل:وزير خارجية الحو ثيين السابق يغادر مطار عدن

كريتر سكاي | 289 قراءة 

ورد الآن.. البنك المركزي يعلن إيقاف تراخيص 13 شركة ومنشأة صرافة مخالفة لتعليماته بتثبيت سعر صرف الريال اليمني (أسماء)

بران برس | 288 قراءة