کاملاً جدی؛ شوخی روز اول آوریل گوگل باعث ایجاد یک نقص امنیتی شده است!

گوگل از جمله شرکت‌هایی است که روز اول آوریل هر سال را با شوخی‌های متنوع و جالبی جشن می‌گیرد. از سرویس دایال‌آپ گرفته تا بازی PAC-Man در نقشه‌های گوگل! اما ظاهراً امسال یکی از این شوخی‌ها برای گوگل دردسرساز شده و نقصی امنیتی را باعث شده است.

از علی ارغوان منتشر شده در ۱۲:۳۰ شنبه, ۲۹ فروردین , ۱۳۹۴

اگر به خاطر داشته باشید در لیست شوخی‌های اول آوریل نوشتیم که یکی از شوخی‌های گوگل این بود که اگر به جای google.com به com.google مراجعه می‌کردید صفحه اصلی گوگل کاملاً برعکس نمایان می‌شد. ظاهراً ایجاد این صفحه باعث آسیب‌پذیر شدن گوگل به حمله‌های click-jacking شده است. حمله‌های click-jacking به آن دسته از حملاتی اطلاق می‌شود که قربانی تصور می‌کند درحال کلیک بر روی موضوع خاصی است درحالی‌که در واقع روی لینک دیگری کلیک می‌کند. این آسیب‌پذیری هکرها را قادر می‌کرد تا تنظیمات جستجوی کاربر مانند فیلتر SafeSearch یا جستجوی ایمن را تغییر دهند.

اما مشکل از کجا ناشی می‌شود؟ صفحه اصلی گوگل به نشانی google.com با استفاده از تنظیمات کد X-Frame مانع از نمایش این صفحه در سایر وب‌سایت‌ها با کد iframe می‌شود اما برای نمایش برعکس در روز اول آوریل گوگل از پارامتر igu=2 استفاده کرده که نه‌تنها امکان نمایش برعکس را فراهم می‌کند بلکه باعث شده بود تا سرور تنظیمات هدر X-Frame را نادیده بگیرد. به این ترتیب مهاجمان می‌توانستند با استفاده از کد iframe در یک دامنه خارجی کاربران را برای تغییر تنظیمات جستجو فریب دهند.

برای درک بیشتر می‌توانید ابتدا نگاهی به پاسخ یک جستجو به صورت عادی در گوگل بیندازید که کد X-Frame در آن کاملاً مشخص است:

HTTP/2.0 200 OK

Alternate-Protocol: 443:quic,p=0.5

Cache-Control: private

Content-Encoding: gzip

Content-Length: 35486

Content-Type: text/html; charset=UTF-8

Date: Wed, 01 Apr 2015 09:54:14 GMT

Expires: Wed, 01 Apr 2015 09:54:14 GMT

Server: gws

Set-Cookie: [redacted]
X-Frame-Options: SAMEORIGIN

X-XSS-Protection: 1; mode=block

X-Firefox-Spdy: h2-15

حالا با استفاده از پارامتر igu=2 همان‌طور که می‌بینید دیگر خبری از X-Frame-Options نیست و مهاجم می‌تواند صفحه را در وب‌سایت خود نمایش دهد.

HTTP/2.0 200 OK

Alternate-Protocol: 443:quic,p=0.5

Cache-Control: private

Content-Encoding: gzip

Content-Length: 33936

Content-Type: text/html; charset=UTF-8

Date: Wed, 01 Apr 2015 09:58:30 GMT

Expires: Wed, 01 Apr 2015 09:58:30 GMT

Server: gws

Set-Cookie: [redacted]
X-XSS-Protection: 1; mode=block

X-Firefox-Spdy: h2-15

خوب است بدانید اگر تنظیمات جستجو با استفاده از کد iframe در هر وبسایتی تغییر کند پس از آن نیز وقتی کاربر به سایت خود گوگل مراجعه کند جستجو با تنظیمات جدید اجرا خواهد شد. گفتنی است گوگل متوجه این مشکل شده و حالا آن را برطرف کرده است.

netcraft

دروغ اول آوریل