هشدار جدی برای همه کاربران جیمیل

همانطور که می‌دانید جیمیل محبوب ترین سرویس ایمیل در جهان است که به عنوان یکی از امن ترین‌ها نیز شناخته می‌شود. اما یک سوء استفاده خطرناک ممکن است حساب شما را با مشکلات جبران ناپذیری مواجه کند. از این رو هشدار برای کاربران جیمیل توسط محقق امنیتی یوسف سامودا و کمپانی مالوربایتز لبز (Malwarebytes Labs) داده شده است. به گزارش یوسف سامودا استفاده از پروتکل OAuth برای دسترسی به حساب کاربری کاربران فیسبوک به او این امکان را داد تا بتواند به حساب های فیسبوک نفوذ کند. همچنین کمپانی مالوربایتر لبز نیز ادعا می‌کند ثبت نام از طریق سرویس هایی از قبیل جیمیل امنیت را تا حد زیادی به خطر می‌اندازد. در ادامه به ما در برقچی همراه باشید تا اطلاعات کامل‌تری در این باره کسب کنید.

فهرست مطالب:

• ثبت نام در سایت ها از طریق سرویس جیمیل
• هک حساب‌های فیسبوک
• پروتکل OAuth چیست؟
• آسیب پذیری پروتکل OAuth

ثبت نام در سایت ها از طریق سرویس جیمیل

چگونه وارد شبکه های اجتماعی خود می‌شوید؟ آیا از حساب کاربری جیمیل یا سرویس های دیگر استفاده می‌کنید؟ شاید با دانستن اینکه اخیرا در حساب های فیسبوک سوء استفاده ای رخ داده است، مایل باشید روش خود را تغییر دهید. زیرا اگر از یک سرویس واحد برای اتصال به سایر سایت های مورد علاقه خود استفاده کنید، درصورتی که حساب شما هک شود، عواقب آن به جای یک سایت در چندین سایت احساس می‌شود. به عنوان مثال، اگر برای همه برنامه ها با فیس بوک وارد سیستم شده اید و بعداً حساب فیس بوک شما هک شده است، به جای فقط یک سایت، هویت و اطلاعات شما در چندین سایت به خطر می‌افتد. به همین دلیل است که یوسف سامودا هشدار جدی برای همه کاربران جیمیل را دربیانیه ای اعلام کرده است.

بیشتر بخوانید: آموزش نحوه تهیه بکاپ از جیمیل (Gmail)

نفوذ یوسف سامودا به حساب های فیسبوک

در حقیقت یوسف سامودا که محقق امنیتی است نشان داد می‌تواند حساب کاربری کاربران فیسبوک که با جیمیل خود  وارد می‌شوند را با استفاده از زنجیره ای از پروتکل‌های امنیتی مخصوص تاییدیه به نام oAuth هک کند. وی توضیح داد که از طریق بازگردانی مسیرها در پروتکل Google OAuth استفاده کرد و با کمک عناصری از سیستم‌های خروجی فیسبوک، چک پوینت و سندباکس توانست به حساب ها نفوذ کند. او توضیح داد که «امکان هدف قرار دادن تمام کاربران فیس بوک وجود دارد.»

سامودا می‌گوید فیس‌بوک برای افشای این آسیب‌پذیری در ماه فوریه به او 44625 دلار «جوایز باگ» پرداخت کرده است. و متعاقباً  این مشکل را در ماه مارس اصلاح کرد. بنابراین این واقعیت که OAuth به آسیب‌پذیری فیس‌بوک زنجیر شده بود، این استاندارد امنیتی محبوب و خطرات اضافی را که به همراه دارد، مورد توجه قرار می‌دهد.

پروتکل OAuth چیست؟

بنابراین OAuth چیست؟ این نام از عبارت Open Authentication یا «مجوز باز» گرفته شده است و یک استاندارد باز است که توسط بسیاری از بزرگ‌ترین شرکت‌های فناوری جهان از جمله آمازون، مایکروسافت، توییتر، گوگل و بسیاری دیگر پذیرفته شده است. توجه کنید که oAuth یک پروتکلی است که به وبسایت ها اجازه می‌دهد به اطلاعات کاربران بدون نیاز به پسورد آن‌ها دسترسی داشته باشند. در واقع OAuth پروتکلی برای انتقال مجوز از یک سرویس به سرویسی دیگر بدون به اشتراک گذاشتن اعتبار واقعی کاربر مانند نام کاربری و رمز عبور است.

با استفاده از پروتکل OAuth یک کاربر می‌تواند وارد یک پلتفرم شده و سپس مجاز به انجام اقدامات و مشاهده داده ها در پلتفرمی دیگر باشد. حساب های کاربری گوگل می توانند با بسیاری از برنامه های مصرف کننده مختلف مانند پلتفرم های وبلاگ نویسی، وب سایت های خبری و بازی های آنلاین مختلف ادغام شوند. در این موارد از پروتکل OAuth در پشت صحنه استفاده می‌شود تا این برنامه های خارجی بتوانند به داده های لازم از گوگل دسترسی پیدا کنند.

بیشتر بخوانید: آموزش افزایش امنیت اکانت جیمیل

آسیب پذیری پروتکل OAuth

همگام با یافته‌های سامودا، ارائه‌دهنده امنیتی در کمپانی مالوربایتز لبز (Malwarebytes Labs) به هر کسی که از حساب‌های مرتبط استفاده می‌کند هشدار می‌دهد. در واقغ پیتر آرنتز، محقق اطلاعات بدافزار این شرکت، می‌نویسد: «حساب‌های مرتبط برای آسان‌تر کردن ورود به سیستم اختراع شدند. شما می توانید از یک حساب برای ورود به برنامه ها، سایت ها و سرویس های دیگر استفاده کنید. تنها کاری که برای دسترسی به حساب باید انجام دهید این است که تأیید کنید حساب متعلق به شماست.»

البته وی چنین روشی برای ثبت نام را توصیه نمی‌کند و می‌گوید « اگر کسی تنها رمز عبوری را که همه آن‌ها را کنترل می‌کند به دست آورد (به عنوان مثال رمز جیمیل) حتی بیشتر از زمانی که رمز عبور یک سایت به خطر بیفتد، دچار مشکل می‌شوید». این تنها بخشی از ایرادات وارده به پروتکل OAuth است و این پروتکل بسیار آسیب پذیر و نفوذپذیر است. زیرا که روش هایی برای بهره برداری از آسیب پذیری ها در احراز هویت OAuth وجود دارد که بیشتر هکرها به خوبی با آن آشنا هستند. وجود این نوع ثبت نام و این پروتکل تقابلی بین راحتی و امنیت به وجود می‌آورد که بهتر است امنیت بیش‌تر ملاحظه شود. خبر خوب این است که امکان لغو پیوند حساب‌ها در فیس بوک وجود دارد. از این رو برای فیس بوک به مسیر زیر بروید:

Settings & Privacy > Settings > Accounts Center button > Accounts & Profiles

جمع بندی هشدار جدی برای همه کاربران جیمیل

با مقاله هشدار برای کاربران جیمیل آموختیم که استفاده از سرویس های شخص ثالث برای ثبت نام در سایت‌ها، چالش ایجاد می‌کند. در اینجا ما دوگانگی امنیت در مقابل راحتی را خواهیم داشت. در واقع با داشتن یک حساب کاربری مانند جیمیل می‌توانید به راحتی و در مدت زمان کمی در سرویس و سایت دیگر ثبت نام کنید. اگرچه اگر هکری بتواند به یکی از این حساب های مرتبط دسترسی پیدا کند، امنیت و حریم شخصی همه حساب ها به خطر می‌افتد. برای کم کردن چنین ریسکی می‌توانید از روش هایی برای لغو این نوع پیوند در سایت های شخص ثالث استفاده کنید. امیدواریم این مطلب مفید بوده باشد. از همراهی شما سپاس‌گزاریم.