اليوم تم الكشف عن ثغره فريده من نوعها على مجموعة جوجل العالمية في خدمة البريد Gmail Account
, تقدروا تشوفون طريقة عملها من هنا
بحيث تمكن المخترقين من الولوج الى حسابات الجوجل , طبعا لها اكثر من معنى مثل XSRF او Sea-Surf بموقع جوجل
للحسابات ... والظاهر انه كان باب من ابواب الثغرات من النوع هذا لحسابات جوجل كشف من قبل الBlackhat's
لاحظنا طبعا قبل عده ايام بظهور اكثر من ثغره XSS
الثغـــره مكتشفة منذ ال 2007 اي بلطبع اكتشاف ال XSS ومن ثم تطويرها الىCSRF اي cross-site request forgery
الثغره تمكن المخترق حال فتحك رابط المبعوث منه وطبعا اي رابط راح يكون مالها علاقة بلفايروس ولايظهر لك اي
تنبيه اوتحذير راح يتم تغيير باسوورد حسابك من الGmail
اول من اكتشف الثغره هو Vicente Aguilera Diaz وهو باحث امني بفريق ISecAuditors من عام 2007 في شهر 7
وتم الكشف عن الثغره لمجموعة جوجل بشهر 8 وتم ترقيعها فورا بطلبع ...
لانه الطريقة الوحيدة للولوج لحساب المستهدف هي عن طريق ال Cookies بحيث تقوم بتغيير معلومات الباسوورد
للحساب المستهدف بحسابات ال Gmail وتم العثور على ثغره CSRF الخاص فيه عند فتح الرابط المرسل اليه من
قبل المخترق فورا !!
طبعا الثغره تتكون من صفحة منسقة وتظهر لك انه لازم تسجل حسابك بجوجل اي عن طريق التحويل لحساب الجوجل
الخاص فيك بدون اي شك بلموضوع كونك محول على حسابك بجوجل
ومن ثم يتم تغيير باسووردك حال كتابتك له او حفظك له بلإكسبلويرر حقك , طبعا الثغره متوافقة مع جميع البراوزر
المعروف من... FireFox ; IE ; Opera ; GoogleChroome ; etc
اللحين وقت مايجي دخولك على الجي ميل بحيث انه تمت زيارتك للصفحة لاي موضوع فرضا تجديد حسابك او عرض
ديد من اي شركة كبيرة وبلفعل يكون الخبر صحيح
راح يتم ارسال رسالة لك بنفس الموضوع الي تحولت عليه او بلخدعة الي مشيت فيها لتدخل بريدك الجي ميل وهذا
الشي يعتمد على المخترق بإقناعك او مانسميه بل social engineering
ومن ثم سيتم الدخول الي حسابك وتغيير الباسوورد ,, طبعا اكيد معظمكم راح يقول مابقدر لانه في التاكيد على
الدخول للباسوورد عن طريق التحقيق بكتابة كود معين او ماهو متعارف عليه ب CAPTCHA
---
هذه الثغره بختصار وطبعا للوقاية منها ماانحصكم تفتحوا اي رابط مشكوك فيه لمدة يومين ثلاثة بلكثير , لانه اكيد
جوجل يعرفوا على الثغره هذه منذ مدة بحيث انهم صرحوا اليوم عن الثغره بلرد
انهم حاسيين ومتوقعين بوجود الثغره خلال الفتره السابقه منذ اكتشاف اول ثغره وبلطبع نحن ناكد على عملائنا على
تغيير معلوماتهم والباسوورد لديهم بحيث يكون باسوورد صعب فكه
هذا رد المتحدث بإسم جوجل عن الثغره
طبعا هذه العناوين من سنة 2007 الى يومنا هذا عن إحدائيات تطور الثغره من جوجل
كود:
Disclosure timeline:
July 30, 2007: Vulnerability acquired by Internet Security Auditors.
August 1, 2007: Initial notification sent to the Google security team.
August 1, 2007: Google security team request additional information. about and start review the vulnerability.
August 13, 2007: Request information about the status.
August 15, 2007: Google security team responds that they are still working on this.
September 19, 2007: Request for the status. No response.
November 26, 2007: Request for the status. No response.
January 2, 2008: Request for the status. No response.
January 4, 2008: Request for the status. No response.
January 11, 2008: Request for the status. No response.
January 15, 2008: Request for the status. Automated response.
January 18, 2008: Google security team informs that don't expect behaviour to change in the short term giving the justification. We deconstruct those arguments as insufficient. No more responses.
December 30, 2008: Request for the status. Confirmation from Google they won't change the consideration about this.
January 11, 2009: Publication to Bugtraq. Rejected twice. No reasons.
March 03, 2009: General publication for disclosure in other lists.
المصــــدر + الشرح للوقاية من الثغره .
---
يرجى ذكر المصدر عند النقل
تحياتي
www.sec-r1z.com
SecurityRules