لندن-“القدس العربي”: تواجه شركة “غوغل” الأمريكية العملاقة فضيحة من العيار الثقيل بعد اكتشاف خلل في متصفحها الشهير “كروم” قد يؤدي إلى النفاذ لمعلومات المستخدم وبياناته الشخصية وبالتالي قد تعريض ملايين المستخدمين لعمليات قرصنة واختراق ضارة.
وبحسب تقارير نشرتها العديد من وسائل الإعلام الأجنبية فإن الثغرة الأمنية التي تم اكتشافها في المتصفح تؤدي إلى تعريض ملايين وربما مليارات المستخدمين في العالم لخطر سرقة البيانات.
وتسمح الثغرة الأمنية في متصفحات غوغل للمهاجمين بتجاوز سياسة أمان المحتوى “CSP” على مواقع الويب؛ من أجل تنفيذ التعليمات البرمجية المخادعة.
وبحسب تقرير نشرته “البوابة العربية للأخبار التقنية” فقد تم العثور على الخطأ “CVE-2020-6519” في متصفحات “كروم” و”أوبرا” و”إيدج” على أنظمة ويندوز وأندرويد وماك جميعاً، وهو يشكل ثغرة أمنية تُمكن القراصنة واللصوص من سرقة بيانات المستخدمين، لكن من المعروف أن “كروم” هو الأوسع انتشاراً والأكثر استخداماً في العالم.
ووفقًا لباحث الأمن السيبراني غال وايزمان، فمن المحتمل أن تؤثر هذه الثغرة الأمنية على مليارات المستخدمين.
وتوجد هذه الثغرة في إصدارات كروم منذ النسخة 73 الصادرة في شهر آذار/مارس 2019 وحتى النسخة 83 إلا أن “غوغل” أُصدرت النسخة 84 في شهر تموز/يوليو 2020 وأُصلحت المشكلة.
وتُعد سياسة أمان المحتوى “CSP” بمثابة معيار للويب يهدف إلى إحباط أنواع معينة من الهجمات، ومن ضمنها هجمات البرمجة النصّيّة عبر المواقع “XSS” وهجمات حقن البيانات.
ويسمح معيار “CSP” لمسؤولي الويب بتحديد المجالات التي يجب على المستعرض اعتبارها مصادر صالحة للبرامج النصية القابلة للتنفيذ.
ويقوم المستعرض المتوافق مع معيار “CSP” بتنفيذ البرامج النصية التي تم تحميلها في الملفات المصدرية المستلَمة من تلك المجالات.
وقال الباحث وايزمان إن “معيار (CSP) هو الطريقة الأساسية المستخدمة من مالكي مواقع الويب لفرض سياسات أمان البيانات لمنع عمليات تنفيذ التعليمات البرمجية الضارة على مواقع الويب الخاصة بهم”.
وأضاف: “عندما يمكن تجاوز السياسات، فإن بيانات المستخدم الشخصية تصبح في خطر”.
وأشار الباحث إلى أن معظم مواقع الويب تستخدم “CSP” ومن ضمنها عمالقة الإنترنت، مثل فيسبوك وجيميل وإنستاغرام وواتساب.
ولاستغلال الثغرة الأمنية، يحتاج المهاجم إلى الوصول إلى خادم الويب، وذلك حتى يتمكن من تعديل تعليمات جافا سكريبت “JavaScript” التي يستخدمها.
ويمكن للمهاجم بعد ذلك إضافة توجيه “frame-src” أو “child-src” في جافا سكريبت؛ للسماح للتعليمات البرمجية المحقونة بالعمل، مع تجاوز “CSP” وسياسة الموقع.
وتصنف الثغرة الأمنية بأنها مشكلة متوسطة الخطورة – 6.5 من 10 بحسب مقياس “CvSS” – لكن بالنظر إلى أنها تؤثر في تطبيق معيار “CSP” فإن ذلك يعني أنها ذات آثار كبرى، وقارنها وايزمان بمشكلة أحزمة الأمان والوسائد الهوائية في السيارة.