ثغرة أمنية جديدة في جوجل تسمح باختراق الحسابات رغم تغيير كلمات المرور

كشف تقرير جديد عن انتشار أسلوب اختراق جديد يستهدف حسابات جوجل الشخصية، حتى وإن تم تغيير كلمات مرورها. ويعتمد الهجوم الجديد على ثغرة صفرية في ميزة MultiLogin في Google OAuth، تسمح للمخترقين بالوصول إلى بيانات المستخدم، بما في ذلك كلمة المرور، حتى بعد تغييرها.

بحسب ما نشره موقع Bleeping Computer، فإن البرمجيات الخبيثة التي تستخدم هذا الأسلوب تستهدف سرقة البيانات من الحواسيب الشخصية، من خلال استغلال ميزة MultiLogin في Google OAuth. وتعمل هذه الميزة على مزامنة الحسابات المُسجل دخولها على متن خدمات جوجل المختلفة على جهاز المستخدم، وذلك من خلال قبول بيانات تعريف حسابات المستخدم وكذلك مفاتيح تعريف الهوية عند تسجيل الدخول.

وأوضح باحثون بشركة “كلاود سيك” الأمنية أن هذه البرمجيات الخبيثة تستهدف سرقة بيانات تعريفية GAIA ID، ومفتاح مُشفر Encrypted_Token. ويتم فك تشفير المفتاح المُشفر من خلال أداة برمجية مخزنة في ملف ضمن ملفات النظام في متصفح جوجل كروم، يحمل اسم Local State.

وبعد الاستيلاء على تلك البيانات، يُصبح بإمكان المخترق إعادة إنشاء ملفات الارتباط “كوكيز” الخاصة بخدمات جوجل، مما يتيح له وصولاً كاملاً إلى حسابات المُستخدم.

وفي حالة تغيير المستخدم كلمة المرور، سيتمكن المخترق عبر الأسلوب الجديد من إعادة إنشاء ملفات الارتباط مرة واحدة فقط، بينما في حال عدم تغيير كلمة المرور، يمكنه إعادة إنشاء ملفات الارتباط أكثر من مرة إلى ما لا نهاية، مما يضمن سيطرته على حساب المستخدم، حتى وإن سجّل خروجه من جميع أجهزته، وسجل الدخول من جهاز جديد كلياً.

وحتى الآن، لم تصدر جوجل أي تعليقات رسمية على وجود الثغرة أو استغلالها في هجمات تهدد خصوصية المستخدمين، وتنتهك سلامتهم الرقمية.

نصائح للمستخدمين:

• تحديث متصفح جوجل كروم إلى أحدث إصدار.
• تشغيل وضع الحماية المتقدمة في متصفح جوجل كروم.
• استخدام كلمات مرور قوية ومعقدة، وتغييرها بشكل دوري.
• تفعيل المصادقة الثنائية لحماية حساباتك.
• توخي الحذر عند فتح المرفقات أو النقر على الروابط الواردة في رسائل البريد الإلكتروني أو الرسائل النصية غير المعروفة.
• تنزيل البرامج من مصادر موثوقة فقط.