يعاني جمايل Gmail من ثغرة أمنية كبيرة، تمامًا مثل آلاف المواقع الأخرى. نظرًا لنموذج الأذونات المنتشر على المتصفحات، يمكن لإضافات متصفح جوجل كروم Chrome و اضافات فايرفوكس Firefox الوصول إلى المعلومات الحساسة مثل كلمات مرور المستخدم.
بعد قراءة هذه المقالة، قد ترغب في حذف أو تعزف عن انشاء حساب جمايل Gmail . حيث اكتشف فريق من الباحثين من "جامعة ويسكونسن ماديسون" أن العديد من مواقع الويب التي تستقبل ملايين الزوار، بما في ذلك حساب جمايل Gmail، تخزن كلمات المرور بنص واضح في كود مصدر HTML لصفحات الويب الخاصة بها.
فأين هي المشكلة ؟ المتصفحات أيضًا تتحمل المسئولية في هذا الخرق الأمني الواسع. في الواقع، فإن نموذج الأذونات الذي يقوم عليه نظام امتدادات أو إضافات متصفح جوجل كروم Chrome و فايرفوكس Firefox "ينتهك مبدأي الامتياز والوساطة الكاملة". لذلك، يمكن للإضافات استعادة كلمات المرور من هذه المواقع دون صعوبة كبيرة.
أوضح الباحثون أن المشكلة تنبع من ممارسة "منح إضافات المتصفح وصولاً غير مقيد إلى نموذج كائن المستند (بالإنجليزية : Document Object Model) واختصاراً (DOM) ". وهذا يمنحهم بعد ذلك إمكانية الوصول إلى العناصر التي يحتمل أن تكون حساسة، مثل حقول إدخال كلمة السر. بل إن بعضها مبرمج لاستخراج هذه المعلومات تلقائيًا.
اضافات جوجل كروم التي تسرق كلمات مرور من حساب جمايل
وللتحقق من اكتشافهم، طور الفريق إضافة قادرة على سرقة كلمات مرور من الكود المصدري للموقع. يمكن لهذه الاضافة المبنية على جبي تي GPT، النموذج الذي يشغل شات جي بي تي ChatGPT، من بين أشياء أخرى، استخراج كود HTML عندما يحاول المستخدم الاتصال بصفحة ما ثم سرقة كلمة المرور.
رفع فريق الباحثين الإضافة وتخطت فحوصات الأمان في جوجل كروم ويب ستور Chrome Web Store بنجاح. نظرًا لأن الإضافة لم تحتوي على تعليمات برمجية ضارة واضحة، فقد تم اعتبارها متوافقة مع التحقق التلقائي من جوجل Google وتم تحميلها على المنصة. من الواضح أن فحوصات الأمان المتوفرة على جوجل كروم ويب ستورغير كافية.
قام الباحثون بتحديد الإضافة في وضع "غير منشورة" بحيث لا يتم تحميلها عددا كبيرا من المرات. وبعد انتهاء التجربة، قاموا بحذفها بسرعة من المتجر الإلكتروني.
ما هي المواقع والإضافات التي تشكل خطرا على المستخدمين ؟
وفي مقالتهم العلمية المنشورة الأسبوع الماضي، قال الباحثون إن حوالي 17300 إضافة (12.5٪) في جوجل كروم ويب ستور Chrome Web Store لديها الأذونات اللازمة لاستخراج المعلومات الحساسة من مواقع الويب. العديد منها، ولا سيما إضافات أو ادوات حظر الإعلانات، حصلت على ملايين التثبيتات.
تتضمن أمثلة مواقع الويب التي تم تسليط الضوء على نقص الحماية فيها في التقرير ما يلي :
- حساب جمايل - تظهر كلمات المرور بنص واضح في كود مصدر HTML
- cloudflare.com - تكون كلمات المرور مرئية بنص عادي في كود مصدر HTML
- فايسبوك – يمكن استخراج بيانات المستخدم عبر DOM API
- أمارزن - تظهر تفاصيل بطاقة الائتمان والرمز البريدي بوضوح في الكود المصدري للصفحة.