یک آسیبپذیری امنیتی خطرناک که افزونه مرورگر چند نرمافزار مدیریت پسورد را هدف قرار داده، میتواند اطلاعات حدود ۴۰ میلیون کاربر را در معرض سرقت قرار دهد.
هکرها با استفاده از روش Clickjacking اقدام به سوءاستفاده از این ضعف میکنند.
به گزارش آناژورنال، کارشناسان امنیت سایبری از کشف یک آسیبپذیری مهم در افزونه مرورگر ۱۱ سرویس محبوب مدیریت رمز عبور خبر دادهاند که میتواند اطلاعات حساس کاربران را به خطر بیندازد.
این آسیبپذیری به نوعی حمله Clickjacking مربوط است که مهاجمان با فریب کاربران، دسترسی به اطلاعات ذخیرهشده در پسورد منیجرها را بهدست میآورند.
روش کار هکرها چگونه است؟
در این حمله، کاربران به سایتهایی هدایت میشوند که ظاهری مشابه وبسایتهای اصلی دارند اما دارای عناصری مخفی هستند.
با یک کلیک اشتباه، هکرها موفق میشوند به دادههای ذخیرهشده در افزونههای مدیریت پسورد دسترسی پیدا کنند، در حالی که کاربر متوجه نفوذ نمیشود و فقط صفحه جعلی بسته میشود.
ریشه مشکل در کجاست؟
مشکل اصلی به ساختار Document Object Model (DOM) افزونههای مرورگر بازمیگردد که باعث ایجاد این آسیبپذیری شده است.
افزونههایی که بر پایه DOM ساخته شدهاند، به دلیل نقصهای امنیتی خاص، امکان انجام حملات Clickjacking را فراهم میکنند.
توصیه کارشناسان امنیتی
متخصصان حوزه فناوری اطلاعات تأکید دارند که استفاده از سرویسهای مدیریت رمز عبور همچنان ایمنترین روش برای محافظت از رمزهای عبور است، اما کاربران باید بهروزرسانیهای امنیتی افزونهها را جدی بگیرند و از منابع رسمی برای دانلود افزونهها استفاده کنند.
سرویسهای آسیبپذیر
بر اساس گزارش The Hacker News، ۱۱ سرویس مدیریت پسورد معروف تحت تأثیر این آسیبپذیری قرار دارند، اما نام دقیق این سرویسها هنوز به صورت رسمی اعلام نشده است.
انتظار میرود توسعهدهندگان این نرمافزارها بهزودی با انتشار بروزرسانیهای امنیتی این مشکل را رفع کنند.
سوالات متداول:
۱. آسیبپذیری Clickjacking چیست و چگونه کار میکند؟
Clickjacking حملهای است که در آن کاربر به سایت جعلی هدایت میشود و با کلیک اشتباه، اطلاعات حساس او سرقت میشود، بدون اینکه متوجه نفوذ شود.
۲. چه نرمافزارهای مدیریت پسوردی تحت تأثیر این آسیبپذیری هستند؟
۱۱ سرویس مشهور که افزونههای مرورگر آنها بر پایه Document Object Model ساخته شدهاند، در معرض این آسیبپذیری قرار دارند.
۳. چگونه میتوان از این حملات جلوگیری کرد؟
بهروزرسانی منظم افزونهها، دانلود از منابع رسمی و رعایت نکات امنیتی میتواند ریسک نفوذ را کاهش دهد.
