في تقرير مثير للقلق نشره الباحث الأمني رون ماساس من Imperva، تم الكشف عن طريقة جديدة لاستهداف مستخدمي جوجل كروم من خلال هجوم “محرر الشيفرات الشرير” (Evil Code Editor). يُبرز هذا الهجوم خطورة جديدة تتمثل في استغلال ثغرات تقليدية بشكل ذكي، دون الحاجة إلى استغلال ثغرات يوم الصفر، والتي عادةً ما تكون مكلفة للغاية. إليك التفاصيل الكاملة حول هذه الثغرة، وكيف يمكن أن تؤثر على خصوصية وأمان مستخدمي كروم.
ثغرات يوم الصفر: تكلفة عالية، ولكن ما الحاجة إليها؟
تعتبر ثغرات يوم الصفر إحدى أكثر الهجمات تكلفةً، حيث تصل قيمة الثغرات التي تتيح للمهاجمين تنفيذ التعليمات البرمجية عن بُعد على أجهزة المستخدمين إلى ما بين 250,000 و500,000 دولار. وعادةً ما تُستخدم هذه الأموال من قبل وكالات التجسس والجهات الحكومية لتنفيذ هجمات مستهدفة ومعقدة. غير أن هذا الهجوم الجديد يسعى لتحقيق نتائج مشابهة دون الحاجة إلى تلك الثغرات المكلفة.
من خلال محرر الشيفرات الشرير، الذي طوّره ماساس كنموذج تجريبي، يُمكن للمهاجمين استغلال واجهة برمجة التطبيقات الخاصة بنظام الملفات (File System Access API) لكتابة أو تعديل ملفات على جهاز المستخدم، مما يتيح للمهاجم إمكانية السيطرة على النظام دون الحاجة إلى ثغرة يوم الصفر.
كيف يستهدف الهجوم مستخدمي جوجل كروم؟
يتخذ هجوم محرر الشيفرات الشرير نهجًا ذكيًا من خلال استغلال واجهة نظام الملفات في جوجل كروم، التي تسمح للمواقع الإلكترونية بقراءة وكتابة الملفات التي يحددها المستخدم. يتم ذلك عادةً عندما يوافق المستخدم على منح الإذن لتلك المواقع بإجراء تغييرات معينة، دون أن يدرك حجم الخطورة. تمكّن ماساس من توضيح كيف أن واجهة نظام الملفات هذه تتجاوز القيود الأمنية الموجودة على أنظمة Windows وmacOS.
يستهدف هذا الهجوم بشكل خاص نظام macOS، الذي يحتوي على ميزات أمان متقدمة مثل Gatekeeper، والتي تهدف إلى منع تشغيل البرمجيات غير الموثوقة، وميزة Sandbox التي تحد من وصول التطبيقات إلى موارد النظام. لكن كروم لا يستخدم خاصية “الحماية الخاصة بالنظام” (Sandbox) في هذه الحالة، مما يجعل الواجهة خطرة للغاية عند إساءة استخدامها.
تستخدم واجهة نظام الملفات أيضًا سمة com.apple.quarantine، وهي علامة تُضيفها واجهة برمجة التطبيقات للملفات التي تم تنزيلها من الإنترنت للإشارة إلى أنها غير موثوقة. ولكن كما أوضح ماساس، هناك “قيد في Gatekeeper” يمنع macOS من إعادة التحقق من هذه الملفات عند تنفيذها بواسطة تطبيق آخر، مثل جوجل كروم نفسه، مما يفتح الباب أمام تنفيذ التعليمات البرمجية الضارة.
كيفية تجاوز قائمة الحظر في جوجل كروم
رغم أن جوجل كروم يفرض قيودًا على الوصول إلى بعض الملفات من خلال قائمة الحظر، إلا أن ماساس اكتشف أنه يمكن تجاوز هذه القيود باستخدام عملية السحب والإفلات للملفات، والتي لا تخضع لعمليات الفحص اللازمة. للوصول إلى هذا الهدف، ينبغي على المهاجم إقناع المستخدم بمنح إذن الكتابة للملف المحدد.
في هجومه، استخدم ماساس مساعد كروم هيلبر كوسيلة لتحقيق هذا الاستغلال. يعمل كروم هيلبر كوسيط بين المتصفح والإضافات المثبتة عليه، حيث يُنشأ لإدارة عمليات التفاعل الخارجية والموارد المطلوبة من قبل الإضافات، مثل أوامر الطباعة. يقول ماساس إنه “بمجرد الكتابة فوق مساعد كروم هيلبر يمكن تنفيذ التعليمات البرمجية مباشرة”، وهو ما حققه عبر إنشاء واجهة تجريبية للثغرة أطلق عليها “محرر الشيفرات الشرير”، وقد استخدمها كنموذج لواجهة تطوير وهمية تعتمد على المتصفح.
نتائج خطيرة لهذا الهجوم على الأمان الرقمي
يمثل هذا الهجوم تهديدًا كبيرًا لأمن مستخدمي جوجل كروم، حيث يعتمد على عوامل الضعف في الواجهة وعدم وعي المستخدمين بمخاطر الموافقة على الأذونات. يتطلب هذا الهجوم مستوى بسيطًا من التفاعل من المستخدم، مما يجعله قابلاً للتنفيذ بشكل كبير.
ويفتح الهجوم الباب أمام إمكانية تنفيذ التعليمات البرمجية عن بُعد، والذي يمكن أن يُستخدم للوصول إلى بيانات المستخدم الحساسة، أو تثبيت برمجيات خبيثة، أو حتى التجسس على أنشطة المستخدم عبر الإنترنت.
كيف ردت جوجل على الثغرة الأمنية؟
ردت جوجل على هذا الكشف الأمني بخطة لتقييد استخدام واجهة نظام الملفات بحيث تصبح متاحة فقط لحزمة تطبيقات كروم ، مما يتوقع أن يحد من فعالية الهجوم ويمنع تكراره. وأعلنت الشركة أن هذه التعديلات ستدخل حيز التنفيذ في الإصدار المقبل كروم 132، حيث سيتم تقليص الوصول إلى الواجهة مما يخفف من المخاطر المحيطة بالثغرة.
ما الذي يمكن أن يفعله المستخدمون لحماية أنفسهم؟
إلى حين تحديث كروم هيلبر وتقييد الوصول إلى واجهة نظام الملفات، ينصح المستخدمون باتباع عدد من الإجراءات الاحترازية لحماية أنفسهم، منها:
- عدم منح الأذونات بشكل عشوائي: ينبغي للمستخدمين الحذر عند منح أذونات الكتابة أو القراءة للمواقع، خصوصًا إذا كانت المواقع غير موثوقة.
- تحديث المتصفح بانتظام: يجب على المستخدمين الحرص على تحديث كروم فور صدور أي تحديثات أمنية، لضمان الحصول على أحدث التحسينات الأمنية.
- استخدام برامج مكافحة الفيروسات: يمكن لبرامج الأمان والمكافحة من كشف أي برامج ضارة أو محاولات هجوم، مما يوفر طبقة أمان إضافية.
دروس مستفادة حول الأمان الرقمي
يلفت هذا الهجوم الانتباه إلى أهمية الأمان الرقمي في البيئة الافتراضية اليوم، ويؤكد على ضرورة اتباع السياسات الاحترازية عند التعامل مع المتصفحات والتطبيقات التي تستخدم واجهات برمجة مفتوحة. يبرز الهجوم كيف أن الثغرات لا تعتمد دائمًا على يوم الصفر، بل يمكن استغلال واجهات برمجة التطبيقات الموجودة لتحويل النشاط الرقمي الاعتيادي إلى ساحة للهجمات الإلكترونية.
في النهاية، يظل هذا الهجوم تحذيرًا مهمًا حول مدى الحاجة إلى التحسينات الأمنية الدورية وضرورة التعاون بين الشركات التقنية والمستخدمين للحفاظ على الأمان الرقمي في مواجهة التهديدات المتزايدة.