کمیته رکن چهارم – به دنبال حملات فیشینگ که هفتهی گذشته علیه حسابهای کاربری جیمیل رخ داد، گوگل تصمیم گرفته تا قوانین OAuth را محدودتر کند تا در آینده دیگر شاهد چنین حملاتی نباشیم. رایانامههای فیشینگ مدتهای طولانی است که به ابزاری برای مهاجمان تبدیل شدهاند. این رایانامهها دارای ضمیمههایی مخرب هستند و یا پیوند مخربی در آنها وجود دارد که کاربر ترغیب میشود بر روی آن کلیک کند.
به گزارش کمیته رکن چهارم،سرویس جیمیلِ گوگل روزانه میلیونها رایانامهی فیشینگ را مسدود میکند ولی هفتهی گذشته با حملاتی که علیه این حسابها صورت گرفت، دریافتیم که سرویس مسدودسازی گوگل خیلی هم شکستناپذیر نیست. در حملهی هفتهی قبل، رایانامههای فیشینگ برنامهی جعلی را با نام «اسناد گوگل» معرفی میکردند و کاربر با وارد کردن اطلاعات خود به این برنامهی جعلی، امتیازات سطح بالا را اعطاء میکرد.
این حمله باعث میشد مهاجم بتواند به تمامی رایانامهها و حسابهای قربانی دسترسی داشته باشد. همچنین این رایانامهی فیشینگ بین مخاطبان قربانی توزیع و گسترش مییافت. رایانامههای فیشینگ از آدرسهایی برای ارسالکننده استفاده میکردند که به نظر میرسید فردی از فهرست مخاطبان قربانی است. همچنین در این رایانامه پیوندی به اسناد گوگل وجود داشت و به نظر میرسید فرستنده میخواهد اسناد گوگل را با گیرنده به اشتراک بگذارد.
زمانی که قربانی این پیوند را باز میکرد، به صفحهی ورودِ قانونی گوگل هدایت میشد. در ادامه کاربر به برنامهی «اسناد گوگل»، مجوزهایی را برای خواندن، ارسال و حذف محتوای رایانامهها اعطا میکرد. شرکت گوگل توانست به سرعت این حمله را متوقف کند ولی موضوعی که قابل ذکر است اینکه تغییر گذرواژه توسط کاربران هیچ تأثیری در پیشگیری از این حملات نداشته است.
به دلیل اینکه از سازوکارِ احراز هویت OAuth استفاده میشود، مهاجمان همچنان به حساب قربانی دسترسی داشته و تنها حذف کردن مجوزهای برنامهی جعلی میتواند جلوی آسیبها را بگیرد. در حال حاضر گوگل اعلام کرده در حال بهروزرسانی سیاستهای خود در برنامههای OAuth است تا از بروز چنین حملاتی در آینده جلوگیری شود. همچنین بهروزرسانیها و بهبودهایی نیز در سامانهی مسدودسازی هرزنامهی گوگل و بررسی برنامههای ثالث که برای دسترسی به اطلاعات حسابهای گوگل درخواست ارسال میکنند، میتواند لایههای امنیتی بیشتری را به این حسابها اضافه کند.
به گفتهی گوگل در حملهای که هفتهی قبل رخ داد، کمتر از ۰.۱ درصد از کاربران جیمیل تحت تأثیر قرار گرفتند ولی محققان امنیتی بر اساس اثباتهای مفهومی نشان دادند که با استفاده از OAuth حملات فیشینگ همچنان امکانپذیر است. برای حفاظت بیشتر از کاربران، گوگل بر روی نسخهی اندرویدی جیمیل نیز راهحلهای ضد-فیشینگ را ارائه داده است. در این شرایط، زمانیکه کاربران در رایانامهها بر روی پیوند مخربی کلیک میکنند، به او هشدار داده میشود.
منبع:security week
