همان طور که پیشتر در زومیت خواندید گوگل همانند دیگر کمپانیها برای روز اول آوریل امسال دروغهای متنوعی را در نظر گرفته بود که نسخهی برعکس سایت گوگل یکی از آنها بود؛ اما به تازگی این شوخی و دروغ، نقص امنیتی جدی را برای این کمپانی به وجود آورده است.
به گزارش سافت گذر به نقل اززومیت؛ گوگل در روز اول آوریل نسخهی برعکس سایت خود را راه اندازی کرده بود.
این سایت آدرس com.google را داشته و زمانی که کاربران به آن رجوع میکردند
با نوشتههای برعکس شده مواجه میشدند. حال به نظر میرسد این شوخی مشکلی
جدی را برای گوگل به همراه دارد. دامنه com.google موجب ایجاد نقص امنیتی و
حملات click-jacking شده است.
کلیک دزدی یا حملات Click jacking روش هوشمندانهای است که هکرها برای
ترغیب کاربران به کلیک کردن روی آیکن یا فایلی ویروسی به کار میگیرند. در
این روش کاربر بدون این که بداند ممکن است با یک کلیک کردن ساده چه اتفاقات
ناگواری برای سیستمش رخ بدهد، در دام هکرها میافتد. این تکنیک به شکلهای
مختلفی ظاهر میشود؛ به عنوان مثال آگهیهای تبلیغاتی و یا جملاتی مانند
«هرگز روی این فایل کلیک نکنید» که میتواند هر کاربری از مبتدی گرفته تا
پیشرفته را دچار وسوسه برای کلیک کردن کند. این حملات زمانی اتفاق میافتد
که قربانی تصور میکند درحال کلیک بر روی موضوع خاصی است در حالی که در
واقع روی لینک دیگری کلیک میکند.
آسیبپذیریهای موجود هکرها را قادر میکند تا تنظیمات جستجوی کاربر
مانند فیلتر SafeSearch یا جستجوی ایمن را تغییر دهند. در صفحه اصلی گوگل
یعنی google.com، تنظیمات کد X-Frame در این صفحه طوری تنظیم شده که مانع
از نمایش این صفحه در سایر وبسایتها با کد iframe میشود؛ از طرفی گوگل
در روز اول آوریل برای نمایش دادن نسخهی برعکس این سایت از پارامتر igu=2
استفاده کرده است. این پارامتر باعث شده که امکان نمایش برعکس سایت فراهم
شود، اما یک مشکل دیگر را هم ایجاد کرده که آن هم باعث شده بود تا سرور
تنظیمات هدر X-Frame را نادیده بگیرد. به همین دلیل هکرها به راحتی
میتوانستند با استفاده از کد iframe در یک دامنه خارجی کاربران را برای
تغییر تنظیمات جستجو فریب دهند.
در کدهای زیر میتوانید بک جستجوی گوگل را به همراه کد X-Frame مشاهده کنید:
HTTP/2.0 200 OK
Alternate-Protocol: 443:quic,p=0.5
Cache-Control: private
Content-Encoding: gzip
Content-Length: 35486
Content-Type: text/html; charset=UTF-8
Date: Wed, 01 Apr 2015 09:54:14 GMT
Expires: Wed, 01 Apr 2015 09:54:14 GMT
Server: gws
[Set-Cookie: [redacted
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
X-Firefox-Spdy: h2-15
حال همانند کدهای زیر اگر از پارامتر igu=2 استفاده کنیم، پارامتر X-Frame-Options حذف شده و هکر به راحتی میتواند از آن سوءاستفاده کند:
HTTP/2.0 200 OK
Alternate-Protocol: 443:quic,p=0.5
Cache-Control: private
Content-Encoding: gzip
Content-Length: 33936
Content-Type: text/html; charset=UTF-8
Date: Wed, 01 Apr 2015 09:58:30 GMT
Expires: Wed, 01 Apr 2015 09:58:30 GMT
Server: gws
[Set-Cookie: [redacted
X-XSS-Protection: 1; mode=block
X-Firefox-Spdy: h2-15
هکر با استفاده از کدهایی که اشاره شد قادر
است نتایج جستجوی گوگل را در قالب کد iframe در وبسایت خود قرار داد؛ در
نهایت میتواند با دستکاری کدهای صفحهی اول گوگل و قرار دادن کدهای دلخواه
هود نتایج جستجوی نامطلوبی را برای کاربر به نمایش درآورد. گوگل پس از
مطلع شدن از این نقص امنیتی سریعا آن را برطرف کرد.