آسیب‌پذیری تازه‌ای در مرورگرها یافت شد

مدت‌ها بود جاوا اسکریپت‌ به عنوان یکی از کاربردی‌ترین ابزار تحت وب به کار گرفته می‌شد اما همین ابزار سودمند به ابزار مناسبی برای خرابکاری در رایانه تبدیل شده بود. البته هنوز هم جاوا اسکریپت کاربرد گسترده‌ای دارد اما این کاربرد دائما در حال کاهش است و جایگزین‌های متعددی برای آن پیشنهاد شده است.

با این که همه مرورگرها از اجرای اسکریپت‌ها پشتیبانی می‌کنند اما اجرای یک جاوا اسکریپت همچنان ناخوشایند محسوب می‌شود و روش‌های گوناگونی برای سد کردن راه اسکریپت‌ها ابداع شده است.

این موضوع باعث شد تا برخی از متخصصان امنیت و شبکه احساس کنند اوضاع به سمت و سوی امنیت در حال حرکت است اما آزمایش‌های گوناگون روی مرورگرها نتایج دیگری را نشان داد.

موزیلا با فراخوانی متخصصان امنیت، تقاضا کرد تا با استفاده از روش‌های مختلف به مرورگر این شرکت حمله کنند و آسیب‌پذیری‌های آن را تشخیص دهند. فایرفاکس به طور چشم‌گیری در نسخه‌های 8 و 9 در مقابل حملات اسکریپت و XSS مقاوم شده است و این موضوع باعث شد که مهاجمان به فکر روش‌های دیگری باشند. آغاز کشف راه‌های تازه برای حمله به فایرفاکس، پرده از آسیب‌پذیری‌هایی برداشت که بسیار وحشتناک به نظر می‌رسد و در عین حال نه تنها فایرفاکس، بلکه تمام مرورگرهای امروزی را تهدید می‌کند.

آقای Mario Heiderich یکی از متخصصان شناخته شده امنیت در جهان است که در آزمایش روی فایرفاکس شرکت داشته است. وی با ارسال یک ایمیل به مدیر موزیلا از کشف آسیب‌پذیری جدید فایرفاکس پرده برداشت. این آسیب‌پذیری در شرایطی که هیچ اسکریپتی در حال اجرا نیست، کاملا مهلک عمل می‌کند. به برکت HTML 5 و دیگر زبان‌های برنامه‌نویسی تحت وب، می‌توان بسیاری از کارها را بدون اجرای اسکریپت‌ها انجام داد و اپلیکیشن‌های تحت وب را به سادگی و با قدرت بیشتری توسعه داد. نمونه این اپلیکیشن‌ها را می‌توان در بازی‌های کوچک تحت وب یافت. بازی‌هایی که به بازیکن اجازه می‌دهند یک بازی ماشین را در صفحه مرورگر خود بازی کنند.

تقریبا تمام زبان‌های برنامه‌نویسی به وب‌نویسان اجازه می‌دهند برخی از دکمه‌های صفحه کلید را در سایت خود Bind کنند. عمل Bind کردن به این معناست که فشردن دکمه خاصی در محیط وب سایت، عمل یا اعمال خاصی را انجام دهد. وقتی با فشردن دکمه‌های صفحه‌کلید ماشین بازی تحت وب را هدایت می‌کنید، می‌توانید با فشار هر دکمه دستورات دیگری نیز صادر کنید که هیچ نمود خارجی خاصی ندارند اما بسیار خطرناک هستند.

فشردن دکمه‌ها در صفحات وب می‌تواند برای یک سایت خاص یک درخواست یا حتی مجوز تلقی شود. این چنین مجوزی می‌تواند کوکی ایجاد کند، یک فایل فلش را راه‌اندازی کند و یا بخشی از حافظه Cache مرورگر را برای سایت ارسال کند. در عمل سایت در حال انجام عمل Key Logging است اما دکمه‌هایی که احتمالا به شکل بی‌معنی سرقت می‌شوند، خروجی معنایی ندارند، بلکه به عنوان یک دستور و یا مجوز از آن‌ها بهره‌برداری می‌شود.

همه مرورگرهای امروزی می‌توانند به این شکل مورد حمله واقع شوند. از همین رو مایکروسافت، اپل، موزیلا، اپرا و گوگل به طور همزمان کار را برای رفع این مشکل در مرورگر خود آغاز کرده‌اند. در واقع این مشکل به طور مستقیم به خود سازندگان مرورگرها باز می‌گردد اما یک کاربر می‌تواند حتی از یک مرورگر آسیب‌پذیر استفاده کند و کم‌تر مورد تهدید قرار گیرد.

یکی از خطرناک‌ترین کارهایی که می‌توان با استفاده از این روش انجام داد، سرقت اطلاعات از دیگر صفحات و یا سربرگ‌های مرورگر است.

ممکن است صفحه فیس‌بوک، صفحه پست الکترونیک و یا صفحه بانکی کاربر در یکی از سربرگ‌ها باز باشد و امکان سرقت اطلاعات شخصی وی و یا اجرای دستورات خاص از همین طریق صادر شود. نکته این جاست که کل آسیب‌پذیری به فضای دسترسی مرورگر محدود می‌شود و هنوز اثبات نشده است که بتوان از این طریق به سیستم‌عامل آسیبی رساند. بنابراین با یک ترفند ساده می‌توان آسیب‌پذیری را به حداقل رساند.

متخصصان امنیت به کاربران توصیه کرده‌اند تا زمان رفع این آسیب‌پذیری از دو مرورگر استفاده کنند. یکی از مرورگرها تنها برای انجام فعالیت‌های حساس به کار گرفته شود، در حالی که هرگونه فعالیت خطرناک و یا غیر قابل پیش‌بینی به وسیله این مرورگر خاص، ممنوع تلقی شود. برای انجام امور غیر قابل پیش‌بینی مانند جست‌وجوی صفحات، مرور وب به طور تصادفی، مطالعه اخبار و یا باز کردن لینک‌های ناشناس نیز از مرورگر دیگری استفاده شود که تنها برای انجام امور غیر ضروری و کم اهمیت در نظر گرفته شده است.

کسری پاک‌نیت