امنیت

فناوری اطلاعات

June 20, 2022
19:11 دوشنبه، 30ام خردادماه 1401
کد خبر: 136872

مرورگرها رمزها و اطلاعات حساس را بطور متن ساده ذخیره می‌کنند

یک محقق امنیتی می‌گوید بررسی‌های او نشان داده که مرورگر شما ممکن است داده‌های حساس از جمله نام کاربری، گذرواژه و کوکی‌های جلسه را به‌صورت متن ساده در حافظه ذخیره کند. این اتفاق می‌تواند مشکل امنیتی بزرگی را برای اطلاعات کاربران به وجود بیاورد.
 
به گفته «زیو بن پورات»، محقق امنیتی شرکت CyberArk اکثر مرورگرهای مبتنی بر کرومیوم مثل گوگل کروم و مایکروسافت اج با این مشکل روبرو هستند. بررسی‌ها نشان داده که مرورگرهای دیگری مثل موزیلا فایرفاکس و Brave هم از آسیب‌پذیری مشابهی رنج می‌برند.
 
برای استفاده از این مشکل نیازی به دسترسی فیزیکی به دستگاه قربانی نیست. مهاجم می‌تواند به‌صورت از راه دور هم به سیستم دسترسی پیدا کند و این اطلاعات را استخراج نماید. در این صورت، حتی احراز هویت دو مرحله‌ای هم نمی‌تواند برای محافظت از حساب کاربران کافی باشد چون اگر کوکی‌های جلسه در حافظه وجود داشته باشد، با دسترسی به آن‌ها می‌تواند جلسه تحت وب کاربر را هایجک کرد.
مرورگرها می‌توانند چه اطلاعاتی را لو بدهند؟
این محقق می‌گوید انواع داده‌هایی که به شکل ساده در حافظه قرار می‌گیرند و قابل استخراج هستند به چند دسته تقسیم می‌شوند:
 
نام کاربری و گذرواژه‌ای که در هنگام ورود به وب اپلیکیشن‌ها استفاده می‌شود
آدرس اینترنتی، نام کاربری و گذرواژه‌ای که در هنگام بالا آمدن مرورگر به‌طور خودکار وارد حافظه می‌شود
همه داده‌های مربوط به آدرس‌های اینترنتی، نام‌های کاربری و گذرواژه‌هایی که در بخش Login Data ذخیره می‌شوند
همه کوکی‌های متعلق به وب اپلیکیشن‌های خاص
این مشکل به گوگل گزارش شده اما به سرعت با برچسب «رفع نمی‌شود» مواجه شده است، ظاهرا چون کرومیوم مشکلات مربوط به حملات دسترسی به حافظه فیزیکی محلی را حل نمی‌کند.
 
کاربران برای آزمایش مرورگرها می‌توانند از ابزار رایگان Process Hacker استفاده کنند. زیو بن پورات مطلب دیگری را در وبلاگ CyberArk منتشر کرده که روش‌های کاهش اثرات منفی این آسیب‌پذیری و شیوه‌های مختلف سوءاستفاده از این مشکل را شرح می‌دهد.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.