کاملاً جدی؛ شوخی روز اول آوریل گوگل باعث ایجاد یک نقص امنیتی شده است!
گوگل از جمله شرکتهایی است که روز اول آوریل هر سال را با شوخیهای متنوع و جالبی جشن میگیرد. از سرویس دایالآپ گرفته تا بازی PAC-Man در نقشههای گوگل! اما ظاهراً امسال یکی از این شوخیها برای گوگل دردسرساز شده و نقصی امنیتی را باعث شده است.
اگر به خاطر داشته باشید در لیست شوخیهای اول آوریل نوشتیم که یکی از شوخیهای گوگل این بود که اگر به جای google.com به com.google مراجعه میکردید صفحه اصلی گوگل کاملاً برعکس نمایان میشد. ظاهراً ایجاد این صفحه باعث آسیبپذیر شدن گوگل به حملههای click-jacking شده است. حملههای click-jacking به آن دسته از حملاتی اطلاق میشود که قربانی تصور میکند درحال کلیک بر روی موضوع خاصی است درحالیکه در واقع روی لینک دیگری کلیک میکند. این آسیبپذیری هکرها را قادر میکرد تا تنظیمات جستجوی کاربر مانند فیلتر SafeSearch یا جستجوی ایمن را تغییر دهند.
اما مشکل از کجا ناشی میشود؟ صفحه اصلی گوگل به نشانی google.com با استفاده از تنظیمات کد X-Frame مانع از نمایش این صفحه در سایر وبسایتها با کد iframe میشود اما برای نمایش برعکس در روز اول آوریل گوگل از پارامتر igu=2 استفاده کرده که نهتنها امکان نمایش برعکس را فراهم میکند بلکه باعث شده بود تا سرور تنظیمات هدر X-Frame را نادیده بگیرد. به این ترتیب مهاجمان میتوانستند با استفاده از کد iframe در یک دامنه خارجی کاربران را برای تغییر تنظیمات جستجو فریب دهند.
برای درک بیشتر میتوانید ابتدا نگاهی به پاسخ یک جستجو به صورت عادی در گوگل بیندازید که کد X-Frame در آن کاملاً مشخص است:
HTTP/2.0 200 OK
Alternate-Protocol: 443:quic,p=0.5
Cache-Control: private
Content-Encoding: gzip
Content-Length: 35486
Content-Type: text/html; charset=UTF-8
Date: Wed, 01 Apr 2015 09:54:14 GMT
Expires: Wed, 01 Apr 2015 09:54:14 GMT
Server: gws
Set-Cookie: [redacted]
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
X-Firefox-Spdy: h2-15
حالا با استفاده از پارامتر igu=2 همانطور که میبینید دیگر خبری از X-Frame-Options نیست و مهاجم میتواند صفحه را در وبسایت خود نمایش دهد.
HTTP/2.0 200 OK
Alternate-Protocol: 443:quic,p=0.5
Cache-Control: private
Content-Encoding: gzip
Content-Length: 33936
Content-Type: text/html; charset=UTF-8
Date: Wed, 01 Apr 2015 09:58:30 GMT
Expires: Wed, 01 Apr 2015 09:58:30 GMT
Server: gws
Set-Cookie: [redacted]
X-XSS-Protection: 1; mode=block
X-Firefox-Spdy: h2-15
خوب است بدانید اگر تنظیمات جستجو با استفاده از کد iframe در هر وبسایتی تغییر کند پس از آن نیز وقتی کاربر به سایت خود گوگل مراجعه کند جستجو با تنظیمات جدید اجرا خواهد شد. گفتنی است گوگل متوجه این مشکل شده و حالا آن را برطرف کرده است.
شوخی شوخی کار دست خودش داده :D