باحثان أمنيان يكتشفان ثغرة خطيرة في غوغل
تاريخ النشر: 14th, February 2025 GMT
اكتشف باحثا الأمن السيبراني "بروتكات" (Brutecat) و"ناثان" (Nathan) ثغرة أمنية خطيرة في واجهة برمجة التطبيقات "إيه بي آي" (API) الخاصة بكل من يوتيوب و"بيكسل ريكوردر" (Pixel Recorder) تعرض عناوين البريد الإلكتروني للمستخدمين، وهو ما يُعد انتهاكا كبيرا للخصوصية، وفقا لتقرير نشره موقع "بليبنغ كمبيوتر".
وأكدت غوغل أنها أصلحت الثغرة والتي من خلالها يحصل المهاجمون على معرفات "غوغل غايا" (Google Gaia)، ومن ثم يعرفون عناوين البريد الإلكتروني الخاصة بالمستخدمين.
ومن الجدير بالذكر أن معرفة عنوان البريد الإلكتروني التابع لقناة على اليوتيوب يُعد خطرا كبيرا على خصوصية المستخدمين ولاسيما صُناع المحتوى والمبلغين عن المخالفات والنشطاء الذين يحرصون على إبقاء هوياتهم مجهولة على الإنترنت.
كيف تعمل الثغرة؟اكتشف "بروتكات" الجزء الأول من الهجوم والذي كان متاحا للاستغلال منذ شهر، حيث وجد أن حظر مستخدم ما على يوتيوب يكشف عن معرف داخلي فريد تستخدمه غوغل في جميع منصاتها مثل "جيميل" (Gmail) و"درايف" (Drive) وغيرهما والذي يسمى "غايا آي دي" (Gaia ID) ولكل مستخدم معرف خاص به.
وبعد ذلك وجد "بروتكات" أن النقر على الثلاث نقاط للوصول إلى زر الحظر في ملف محادثة المستخدم يؤدي إلى تشغيل طلب واجهة برمجة التطبيقات والذي يكشف بدوره عن "غايا آي دي" الخاص بالمستخدم.
إعلانويُعد هذا الإجراء رغم بساطته ثغرة أمنية خطيرة لأنها تكشف عن المعرفات الخاصة بحسابات "يوتيوب" والتي يُفترض استخدامها داخليا فقط، ولكن بعد أن تمكن "بروتكات" من استخراج "غايا آي دي" الخاصة بالمستخدمين، شرع في معرفة ما إذا كان بإمكانه الكشف عن عناوين البريد الإلكتروني المرتبطة بكل معرف.
وبمساعدة "ناثان" افترض الباحثان أنهما يستطيعان القيام بذلك باستخدام منتجات غوغل القديمة والمنسية لأنها ربما قد تحتوي على بعض الأخطاء أو العيوب لتحويل "غايا آي دي" إلى عناوين بريد إلكتروني.
وباستخدام تطبيق "بيكسل ريكوردر" الخاص بشركة غوغل، اختبر الباحثان مشاركة تسجيل يحتوي على "غايا آي دي" مشفر ومنعوا المستخدم من تلقي إشعار بالبريد الإلكتروني عن طريق إعادة تسمية الملف باسم مكون من 2.5 مليون حرف، مما أدى إلى تعطيل نظام إشعار البريد الإلكتروني نظرا لطوله الشديد.
وبما أن الضحية الافتراضية لن تتلقى إشعارا، أرسل الباحثان طلب مشاركة الملف مع معرف "غايا آي دي" مما أدى إلى تحويل المعرف إلى عنوان بريد إلكتروني بالفعل.
وبفضل الباحثين الأمنيين "بروتكات" و"ناثان" تمكنت غوغل من إغلاق الثغرة ومنع المتسللين من الوصول إلى عناوين البريد الإلكتروني المرتبطة بحسابات يوتيوب.
ولكن رغم اكتشاف الثغرة في سبتمبر/أيلول الماضي، فإن غوغل أصلحتها في 9 فبراير/شباط الجاري، كما أكدت عدم وجود أي علامات تدل على استغلال هذه الثغرة بشكل فعّال.
المصدر: الجزيرة
كلمات دلالية: حريات
إقرأ أيضاً:
اجتماع حكومي موسع لحل التشابكات المالية بين هيئة البريد وبنك الاستثمار
أكد الدكتور مصطفى مدبولي رئيس مجلس الوزراء على ضرورة استمرار الجهود المتكاملة لفض التشابكات المالية بين مختلف الوزارات والجهات والهيئات الحكومية، وذلك بما يسهم في تحسين وتعزيز الكفاءة المالية للعديد من هذه الهيئات والجهات في القيام بدورها المرجو والمستهدف وهو الذي من شأنه أن ينعكس بشكل إيجابي على مختلف قطاعات الاقتصاد الوطني في العديد من المجالات.
التوسع في ميكنة الخدمات الحكومية.. تفاصيل لقاء رئيس الوزراء مع وزير الاتصالات
رئيس الوزراء يتابع ملف حصر التكلفة الاقتصادية لأعداد اللاجئين والوافدين المقيمين في مصر
كارت الخدمات الموحد.. رئيس الوزراء يبحث التوسع في ميكنة الخدمات الحكومية
نائب رئيس الوزراء يوجه بفتح محور تقاطع طريق حسن عالم بمدينة برج العرب
جاء ذلك خلال الاجتماع الذى عقده الدكتور مصطفى مدبولي اليوم لمتابعة جهود فض التشابكات المالية بين الهيئة القومية للبريد وبنك الاستثمار القومي ، وذلك بحضور الدكتورة رانيا المشاط وزيرة التخطيط والتنمية الاقتصادية والتعاون الدولي، والدكتور عمرو طلعت وزير الاتصالات وتكنولوجيا المعلومات، وأحمد كجوك وزيرالمالية، وداليا الباز القائم بأعمال رئيس مجلس إدارة الهيئة القومية للبريد، وأشرف نجم العضو المنتدب لبنك الاستثمار القومي ومسئولي عدد من الوزارات المعنية.
إجراءات وخطوات في ملف فض التشابكات الماليةوقال رئيس الوزراء : إن ما يتم اتخاذه من إجراءات وخطوات في ملف فض التشابكات المالية بين الجهات الحكومية إنما يأتي في إطار الإجراءات المتكاملة لتحقيق المزيد من الإصلاحات الاقتصادية، والقضاء على التشوهات التي سببها تراكم تلك التشابكات خلال الفترة الماضية، وصولا لتعزيز قدرات الجهات المُستحقة للمديونيات على أداء مهامها.
وصرح المستشار محمد الحمصاني المتحدث الرسمي باسم مجلس الوزراء بأن الاجتماع شهد استعراض بنود بروتوكول تعاون بين الهيئة القومية للبريد وبنك الاستثمار القومي، يسهم في فض التشابكات المالية بين الطرفين، ويحل مشكلات متراكمة منذ سنوات حيث تم التوافق بين الطرفين على التوقيع على هذا البروتوكول.
رئيس الوزراء يوجه بتكثيف الجولات الميدانية للوزراء بمختلف المشروعات