גולשים בג'ימייל דרך דפדפן ישן? האקרים יכולים לחדור לכם לתיבה

חור אבטחה בג'ימייל ובשירותים אחרים של גוגל, הפוגע במי שגולש דרך דפדפנים ישנים, מאפשר להאקרים לשלוח הודעות בשם הגולש ולקרוא את התכתובות שלו - כך דיווחה חברת האבטחה הישראלית Comitari ל"כלכליסט". לדברי החברה, היא הודיעה על הפרצה לגוגל ואף זכתה בפרס על כך, אך אין כרגע דרך טכנולוגית לחסום את הפרצה באופן מלא.

החברה איתרה את חור האבטחה במקור בפלטפורמת הבלוגים הפופולרית של גוגל, בלוגר. שלומי נרקולייב, סמנכ"ל הטכנולוגיות של קומיטרי, אמר: "עלינו על הפרצה אחרי שמספר משתמשים שלנו הותקפו באתר בלוגר. החלטנו לבדוק האם באמת המערכות של גוגל פגיעות למתקפות גניבת קליקים". תוכנת ההגנה של החברה איתרה את הבאג לפני מספר חודשים בבלוגר וחסמה אותו לפני שהצליח לפגוע במשתמשים הפרטיים שלה. עם זאת, לא ברור כמה גולשים אחרים כבר נפגעו בעבר וכמה מידע אישי נאסף.

פרצת האבטחה משפיעה על הגולשים המפעילים גרסה ישנה של אחד הדפדפנים הפופולריים, כגון אינטרנט אקספלורר 7, כרום 4.0, פיירפוקס 3.6, אופרה 10 וספארי 3. כל אחד מהגרסאות הללו והישנות יותר פגיעות למתקפה. לפי נתוני אתר StatCounter, למעלה מחמישית מהגולשים בעולם עושים שימוש בגרסאות אלה.

לא רק ג'ימייל פגיע

ההאקרים יכולים לשתול כפתור בלתי נראה באתר כלשהו, ולחיצה על הכפתור תפתח חלון דפדפן שגם אותו לא ניתן לראות. בגלל חור האבטחה בדפדפנים ישנים ובשירותי גוגל, החלון הזה יכול להיות גם של אתר ג'ימייל. אם אתם מחוברים לחשבון הגוגל שלכם, ההאקרים יקבלו גישה מלאה לג'ימייל שלכם - כולל אפשרות לקרוא ולהעתיק את כל התכתובות ואף לשלוח הודעות בשמכם.

מבחינה טכנית, הפורצים משתמשים בטכניקה הידועה בשם גניבת קליקים (Click Jacking). זוהי דרך ליצור שכבה (iframe) שקופה במקום מסוים באתר. כך למשל, כאשר אתם לוחצים על תמונה מסוימת, יכול להיות שמעל התמונה מודבקת שכבה בלתי נראית ובדיוק לחצתם על עוד קישור שלא ידעתם עליו. בעבר פרסמנו כיצד אתרי הורדות ישראליים השתמשו בטכניקה על מנת להשתיל כפתורי לייק בלתי נראים בתוך האתרים שלהם.

הסיבה שדפדפנים ישנים פגיעים היא שאין בהם עדיין את טכנולוגיית X-Frame Header. טכנולוגיה זו מאפשרת למנהלי אתרים לסמן תכנים מסוימים כ"מוגנים", כך שלא ניתן להתחבר אליהם מרחוק, אבל רק דפדפנים חדשים "יודעים" לקרוא את הסימון. ללא X-Frame, ההאקרים יכולים לקשר לכל אתר שירצו.

במקרה הזה, ההאקרים מקשרים לגרסה ישנה ולא מאובטחת של ג'ימייל, העובדת ב-HTML, ללא תמיכה בג'אווה סקריפט. גוגל מחזיקה את הגרסה הזאת עבור דפדפנים ישנים, ואינה יכולה לסגור אותה בלי לפגוע בחלק מהמשתמשים שלה. ההאקרים נכנסים לגרסת ה-HTML, ואין כעת שום אמצעי טכנולוגי שיכול לחסום את ההתקפה. גוגל מצידה אינה יכולה לסגור את הפרצה.

המתקפה הזו אינה יחודית רק לגוגל, ויכולה לתקוף כל שירות אינטרנט אחר המפעיל גרסת HTML בלבד - או בעצם כל מערכת מידע שאינה כוללת שכבת הגנה מבוססת ג'אווה בכל הגרסאות שלה.

אזהרה מפני מתקפת פישינג בפיירפוקס 3. הבעיה נפתרה בדפדפנים החדשים צילום: cc-by-sa Andrew*

מודאגים? יש פתרונות

על מנת לחסום את הפרצה, משתמשים יכולים לשדרג את הדפדפן שלהם, להימנע מלהישאר מחוברים לחשבון בזמן הגלישה, או לבטל את האפשרות להריץ iFrame דרך הגדרות האבטחה של הדפדפן. ישנם גם פתרונות טכנולוגיים אחרים עבור חברות עסקיות שאינן מאפשרות למשתמשים לשדרג את הדפדפן, ודורשים הגנה ברמת השרת או ספקית האינטרנט.

לדברי נרקולייב מקומיטרי, "האיומים על הגולשים ברשת הולכים ומשתכללים בצורה מדאיגה מאד. מתקפת גניבת קליקים היא אחת הטכניקות החדשניות בתחום וכמעט שאין מענה לנושא. בזמן שהגולש התמים חושב שהוא משחק ב-Angry Birds, למשל, הוא עלול לבצע בפועל העברת כספים, מכירת מניות או העברת פרטים אישיים במערכות שונות שאליהן המשתמש רשום, וכן לשלוח קבצים ממחשבו האישי להאקרים"

קומיטרי, שהוקמה ב-2009, היא חברת אבטחה שפיתחה תוכנה להגנה על עסקים וארגונים ממתקפות רשת, בין היתר במטרה להתגונן ממתקפות Click-Jacking, פישינג ופארמינג.