أخبار الإنترنتالأمن الإلكترونيدراسات وتقارير

باحثون أمنيون: HTTPS ليس آمنًا دائمًا كما يبدو

أشار باحثون أمنيون من جامعة كا فوسكاري في إيطاليا وجامعة فيينا للتكنولوجيا في النمسا إلى أن بعض مواقع الويب التي تستخدم بروتوكول HTTPS لا تزال تترك اتصالاتها مكشوفة، وأن نقاط الضعف في HTTPS قد تسمح للمهاجمين بالتطفل على بياناتك.

وحلل الباحثون أفضل 10 آلاف موقع على شبكة الإنترنت، وفقًا لتصنيف شركة Alexa للتحليلات المملوكة لشركة أمازون، تستخدم بروتوكول HTTPS.

ووجدوا أن ما يقرب من 5.5 في المئة من هذه المواقع معرضة لاستغلال بروتوكول أمان طبقة النقل TLS.

وتعرض الكثير من المواقع أيقونة قفل أخضر صغير في شريط عنوان متصفح الويب، مما يشير إلى موقع الويب الذي تزوره حاليًا يستخدم بروتوكول HTTPS للاتصال الآمن.

ويحميك HTTPS من هجمات الرجل في الوسط، مما يضمن عدم رؤية أي شخص لكلمات مرورك وسجل البحث والمحتويات الحساسة الأخرى.

وتستخدم معظم مواقع الويب الشائعة تقريبًا بروتوكول HTTPS لتشفير البيانات بين متصفح الويب وخوادم الويب التي يتصل بها.

ويتم تشفير بروتوكول الاتصال في HTTPS باستخدام بروتوكول أمان طبقة النقل TLS، المعروف سابقًا باسم طبقة المقابس الآمنة SSL.

ويدعي الباحثون أن العيوب التي اكتشفوها هي نتيجة مجموعة من المشكلات في كيفية تنفيذ المواقع لأنظمة تشفير TLS وفشلها في تصحيح الأخطاء المعروفة في TLS و SSL.

لكن أسوأ شيء في هذه العيوب هو أنها خفية بما فيه الكفاية بحيث لا يزال القفل الأخضر يظهر، إذ عند زيارتك لمثل هذا الموقع، سيظل القفل الأخضر يظهر في شريط عناوين المتصفح، مما يجعل من الصعب اكتشاف هذه العيوب.

وطور الباحثون، الذين سيقدمون نتائجهم الكاملة في ندوة IEEE الأربعين حول الأمن والخصوصية، والتي تعقد في شهر مايو بمدينة سان فرانسيسكو، تقنيات تحليل TLS.

وقد تسمح هذه الثغرات الأمنية للمهاجمين بفك تشفير المعلومات مثل ملفات تعريف ارتباط الجلسة، لكنها لن تكون مفيدة في استخراج شيء حساس مثل كلمة المرور، لكن هناك بعض العيوب التي يمكن أن تسمح للمهاجمين بفك تشفير كل حركة مرور الويب تقريبًا بين المستعرض وخادم الويب.

كما أن هناك نقاط ضعف تسمح للمهاجمين بفك تشفير ومعالجة البيانات التي يتم نقلها بين المتصفح وخادم الويب.

ويدعي الباحثون أن جميع المواقع الإلكترونية الـ 10 آلاف التي تم اختبارها تشمل أيضًا حوالي 91 ألف من النطاقات ذات الصلة التي تعد إما نطاقات فرعية أو تتشارك في الموارد مع أفضل 10 آلاف موقع.

وقد تؤدي ثغرات HTTPS ضمن هذه المواقع إلى زيادة العدد الإجمالي للمواقع المتأثرة.

وكشفت نقاط الضعف أن 898 موقعًا، من إجمالي 10 آلاف موقع إلكتروني تم اختبارها، كانت قابلة للاختراق، بينما قدم 977 موقعًا صفحات بأمان منخفض.

وقال كين وايت Kenn White، وهو مهندس أمني ومدير مشروع Open Crypto Audit Project، إن العيوب التي اكتشفها الباحثون ليست بالضرورة نقاط ضعف حرجة.

وأضاف “يحتمل أن يكون الكثير من نقاط الضعف هذه قابلاً للاستغلال، لكنها قد لا تكون أهدافًا جذابة للمتسللين، لأنهم سوف يبذلون مزيدًا من الجهد”، لكنه أكد أن النتائج لا تزال مهمة كجزء من مبادرات أكبر لتنظيف الويب.

زر الذهاب إلى الأعلى