كروم يعرّض مليارات المستخدمين لخطر سرقة البيانات

يعرّض متصفح كروم مليارات المستخدمين لخطر سرقة البيانات، حيث تسمح ثغرة أمنية في متصفحات جوجل القائمة على (Chromium) للمهاجمين بتجاوز سياسة أمان المحتوى (CSP) على مواقع الويب؛ من أجل تنفيذ التعليمات البرمجية المخادعة.

وتم العثور على الخطأ (CVE-2020-6519) في متصفحات (Chrome) و (Opera) و (Edge) على أنظمة ويندوز وأندرويد وماك.

ووفقًا لباحث الأمن السيبراني غال وايزمان (Gal Weizman)، فمن المحتمل أن تؤثر هذه الثغرة الأمنية في مليارات المستخدمين.

وتتأثر إصدارات كروم منذ النسخة 73 (الصادرة في شهر مارس 2019) حتى النسخة 83، ثم أُصدرت النسخة 84 في شهر يوليو وأُصلحت المشكلة.

وتُعد سياسة أمان المحتوى (CSP) بمثابة معيار للويب يهدف إلى إحباط أنواع معينة من الهجمات، ومن ضمنها هجمات البرمجة النصّيّة عبر المواقع (XSS)، وهجمات حقن البيانات.

ويسمح معيار (CSP) لمسؤولي الويب بتحديد المجالات التي يجب على المستعرض اعتبارها مصادر صالحة للبرامج النصية القابلة للتنفيذ.

ويقوم المستعرض المتوافق مع معيار (CSP) بتنفيذ البرامج النصية التي تم تحميلها في الملفات المصدرية المستلَمة من تلك المجالات.

وقال وايزمان في بحث صادر يوم أمس الاثنين: معيار (CSP) هو الطريقة الأساسية المستخدمة من مالكي مواقع الويب لفرض سياسات أمان البيانات لمنع عمليات تنفيذ التعليمات البرمجية الضارة على مواقع الويب الخاصة بهم.

وأضاف “عندما يمكن تجاوز السياسات، فإن بيانات المستخدم الشخصية تصبح في خطر”.

وأشار الباحث إلى أن معظم مواقع الويب تستخدم (CSP)، ومن ضمنها عمالقة الإنترنت، مثل فيسبوك وجيميل وإنستاجرام وواتساب.

ولم تتأثر بعض الأسماء البارزة، التي منها (GitHub) ومتجر جوجل بلاي ولينكدإن وباي بال وتويتر وصفحة تسجيل الدخول إلى ياهو وياندكس.

ولاستغلال الثغرة الأمنية، يحتاج المهاجم إلى الوصول إلى خادم الويب، وذلك حتى يتمكن من تعديل تعليمات جافا سكريبت (JavaScript) التي يستخدمها.

ويمكن للمهاجم بعد ذلك إضافة توجيه (frame-src) أو (child-src) في جافا سكريبت؛ للسماح للتعليمات البرمجية المحقونة بالعمل، مع تجاوز (CSP) وسياسة الموقع.

وتصنف الثغرة الأمنية بأنها مشكلة متوسطة الخطورة – 6.5 من 10 بحسب مقياس (CvSS) – لكن بالنظر إلى أنها تؤثر في تطبيق معيار (CSP)، فإن ذلك يعني أنها ذات آثار كبرى، وقارنها وايزمان بمشكلة أحزمة الأمان والوسائد الهوائية في السيارة.