זוהתה פירצה בדפדפני כרום של גוגל
חוקר בחברת הסטארט-אפ פרימטר איקס זיהה פירצת אבטחה בדפדפנים מבוססי גוגל כרום ● הפירצה מאפשרת לעקוף באופן מלא את מנגנון האבטחה של אתרים אונליין
חוקר אבטחת המידע בסטארט-אפ פרימטר איקס (PerimeterX), זיהה פירצת אבטחה, המאפשרת לעקוף את תקן CSP – מנגנון אבטחה של אתרים אונליין, בדפדפנים מבוססי כרום (Chrome) של גוגל (Google). כחלק מן המחקר זיהה החוקר, גל ויצמן, מספר אתרים בודדים המצליחים להגן על עצמם באופן מספק, כלומר, כזה שלא היה מאפשר לעקוף את החולשה, ובו-זמנית זיהה כמה אתרי מסחר ותיירות גדולים מתחומים שונים, בהם השימוש בתקן לא היה מספק.
המשמעות של חולשת האבטחה היא שניתן היה לנצל את הפירצה לרעה, כלומר בהינתן שיש לתוקף יכולת הרצת קוד באתר, ניצול הפירצה היה מאפשר לו לעקוף את המנגנון לחלוטין, ולהדליף פרטי משתמשים מהאתר, ביניהם פרטים אישיים כגון פרטי כרטיסי אשראי וכולי.
מה זה CSP?
CSP הוא מנגנון אבטחת מידע המציע שכבת אבטחה לאתרים אונליין ומשמש להגנה על פרטי המשתמש לאתרים בכל התחומים. התקן, שמהווה רף אבטחה משמעותי לאתרים לגיטימיים בכל הגדלים, נכנס לשימוש על מנת להגביל את הפעולות שיכולים תוקפים לעשות באתר ולהתריע עליהם בפני בעלי האתרים.
ויצמן: "פושעים בתחום הסייבר הפכו מתוחכמים, ומשפרים כל העת את יכולות התקיפה שלהם שהופכות אגרסיביות יותר ויותר. תפקידם של חוקרים מאז ומעולם התמקד בהתחקות אחרי פירצות אבטחה אפשריות, ואנו עדים לשינויים ושיפורים במנגנוני האבטחה השונים, המתאימים עצמם לאבולוציה של המתקפות. טרם נאמרה המילה האחרונה בתחום המתקפות או ההתגוננות מפניהן".
תגובות
(0)