دروغ روز اول آوریل گوگل مشکل جدی را به وجود آورده است

همان طور که پیش‌تر در زومیت خواندید گوگل همانند دیگر کمپانی‌ها برای روز اول آوریل امسال دروغ‌های متنوعی را در نظر گرفته بود که نسخه‌ی برعکس سایت گوگل یکی از آن‌ها بود؛ اما به تازگی این شوخی و دروغ، نقص امنیتی جدی را برای این کمپانی به وجود آورده است.

به گزارش سافت گذر به نقل اززومیت؛ گوگل در روز اول آوریل نسخه‌ی برعکس سایت خود را راه اندازی کرده بود. این سایت آدرس com.google را داشته و زمانی که کاربران به آن رجوع می‌کردند با نوشته‌های برعکس شده‌ مواجه می‌شدند. حال به نظر می‌رسد این شوخی مشکلی جدی را برای گوگل به همراه دارد. دامنه com.google موجب ایجاد نقص امنیتی و حملات click-jacking شده است.

کلیک دزدی یا حملات Click jacking روش هوشمندانه‌ای است که هکرها برای ترغیب کاربران به کلیک کردن روی آیکن یا فایلی ویروسی به کار می‌گیرند. در این روش کاربر بدون این که بداند ممکن است با یک کلیک کردن ساده چه اتفاقات ناگواری برای سیستمش رخ بدهد، در دام هکرها می‌افتد. این تکنیک به شکل‌های مختلفی ظاهر می‌شود؛ به عنوان مثال آگهی‌های تبلیغاتی و یا جملاتی مانند «هرگز روی این فایل کلیک نکنید» که می‌تواند هر کاربری از مبتدی گرفته تا پیشرفته را دچار وسوسه برای کلیک کردن کند. این حملات زمانی اتفاق می‌افتد که قربانی تصور می‌کند درحال کلیک بر روی موضوع خاصی است در حالی‌ که در واقع روی لینک دیگری کلیک می‌کند.

آسیب‌پذیری‌های موجود هکرها را قادر می‌کند تا تنظیمات جستجوی کاربر مانند فیلتر SafeSearch یا جستجوی ایمن را تغییر دهند. در صفحه اصلی گوگل یعنی google.com، تنظیمات کد X-Frame در این صفحه طوری تنظیم شده که مانع از نمایش این صفحه در سایر وب‌سایت‌ها با کد iframe می‌شود؛ از طرفی گوگل در روز اول آوریل برای نمایش دادن نسخه‌ی برعکس این سایت از پارامتر igu=2 استفاده کرده است. این پارامتر باعث شده که امکان نمایش برعکس سایت فراهم شود، اما یک مشکل دیگر را هم ایجاد کرده که آن هم باعث شده بود تا سرور تنظیمات هدر X-Frame را نادیده بگیرد. به همین دلیل هکرها به راحتی می‌توانستند با استفاده از کد iframe در یک دامنه خارجی کاربران را برای تغییر تنظیمات جستجو فریب دهند.

در کدهای زیر می‌توانید بک جستجوی گوگل را به همراه کد X-Frame مشاهده کنید:

HTTP/2.0 200 OK
Alternate-Protocol: 443:quic,p=0.5
Cache-Control: private
Content-Encoding: gzip
Content-Length: 35486
Content-Type: text/html; charset=UTF-8
Date: Wed, 01 Apr 2015 09:54:14 GMT
Expires: Wed, 01 Apr 2015 09:54:14 GMT
Server: gws
[Set-Cookie: [redacted
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
X-Firefox-Spdy: h2-15

حال همانند کدهای زیر اگر از پارامتر igu=2 استفاده کنیم، پارامتر X-Frame-Options حذف شده و هکر به راحتی می‌تواند از آن سوءاستفاده کند:

HTTP/2.0 200 OK
Alternate-Protocol: 443:quic,p=0.5
Cache-Control: private
Content-Encoding: gzip
Content-Length: 33936
Content-Type: text/html; charset=UTF-8
Date: Wed, 01 Apr 2015 09:58:30 GMT
Expires: Wed, 01 Apr 2015 09:58:30 GMT
Server: gws
[Set-Cookie: [redacted
X-XSS-Protection: 1; mode=block
X-Firefox-Spdy: h2-15

هکر با استفاده از کدهایی که اشاره شد قادر است نتایج جستجوی گوگل را در قالب کد iframe در وب‌سایت خود قرار داد؛ در نهایت می‌تواند با دستکاری کدهای صفحه‌ی اول گوگل و قرار دادن کدهای دلخواه هود نتایج جستجوی نامطلوبی را برای کاربر به نمایش درآورد. گوگل پس از مطلع شدن از این نقص امنیتی سریعا آن را برطرف کرد.