اكتشف الباحث هجومًا جديدًا في التوقيت يمكن أن يكشف عن مستخدمي Google في ظل بعض الشروط الخاصة.
أندرو Cantino، نائب رئيس قسم الهندسة في Mavenlink، مفصلة هجومه في مشاركة المدونة الحادي الأسبوع. وفقا له ، يمكن أن تستخدم الهجوم من قبل مهاجم لاستهداف شخص أو منظمة معينة. يمكن لمجرم عبر الإنترنت مشاركة مستند Google مع عنوان بريد إلكتروني ، وإلغاء التحقق من الخيار الذي ترسل بموجبه Google إلى المستلم إشعارًا.
توقيت الهجوم المستخدم في تحديد هوية مستخدم DE-MASK TOR
الآن ، باستخدام تقنية استغلال الهجوم توقيت ، يمكن المجرم الإلكتروني معرفة عندما يقوم شخص ما بتسجيل الدخول إلى أي واحد من العناوين المشتركة بزيارة موقعهم ، وقال Cantino. يمكن للمهاجم أن يستخدم هذا الهجوم في حملات التصيد الاحتيالي أو حتى يمكنه كشف هوية مستخدمي Tor في حالة تسجيل الدخول إلى Google أثناء استخدام متصفح Tor .
يمكن أن يسمح هجوم التوقيت لكشف مستخدمي Google المستهدفين أثناء تصفحهم للويب. وقال كانتينو إن الهجوم مباشر. على سبيل المثال ، إذا كنت أتحكم في موقع ويب وأريد أن أعرف متى يزور مستخدم معيّن بعنوان Gmail معين موقعي على الويب ، في هذه الحالة ، يمكنني استخدام تقنية استغلال للتعرف على هوية ذلك المستخدم المستهدف ، وأيضًا ذلك بدون تعيين بسكويت.
إذا كان زائر Google قابلاً للعرض من قِبل الزائر ، فسيستغرق تحميل الصفحة الناتجة وقتًا أطول مما لو كان المستند غير قابل للعرض.
" نظرًا لأن النتيجة ليست صورة ، يتم تشغيل رد الاتصال على الصورة في كلتا الحالتين ، ولكن يمكننا تسجيل المدة التي يستغرقها من إنشاء الصور إلى تشغيل رسالة الخطأ. سيكون هذا الوقت أكبر عندما يكون الوصول إلى المستند. في تجاربي ، استغرق التحميل 891 مللي ثانية عندما كانت الوثيقة متاحة ، لكن 573 مللي ثانية عندما لم تكن كذلك ، "قال كانتينو.
من أجل كسب ثقة المستخدمين وسرقة بيانات الاعتماد ، يمكن للمهاجم استخدام صفحة خداع تبدو وكأنها تسجل الدخول إلى حساب الضحية. يمكن أن يساعد هذا النوع من هجمات الاستهداف أيضًا على تحديد مستخدمي Tor ، إذا تم تسجيل دخولهم إلى حساب Google الخاص بهم.
توقيت الهجوم
بالنسبة لأولئك الذين ليسوا على دراية بالهجوم على التوقيت ، فإن هجوم التوقيت هو نوع من الهجوم على القناة الجانبية حيث يحصل المهاجم على معلومات من تطبيق نظام التشفير بدلاً من أي ضعف متأصل في الخصائص الرياضية للنظام.
تستغل هجمات التوقيت تغيرات التوقيت في عمليات التشفير. بسبب تحسينات الأداء ، غالبًا ما تستغرق العمليات الحسابية التي تقوم بها خوارزمية التشفير فترات زمنية مختلفة بناءً على المدخلات وقيمة المعلمة السرية.
تم الإبلاغ عن المشكلة إلى GOOGLE - بدون إصلاح
تم الإبلاغ عن المشكلة بشكل مسؤول إلى فريق أمان Google من قبل أندرو كانتينو ، نائب رئيس قسم الهندسة في Mavenlink. أقرت شركة محرك البحث العملاقة بالمشكلة ، ولكنها رفضت إصلاحها لأن المخاطر ، من حيث التأثير وصعوبة استغلال ذلك ضد عدد كبير من السكان ، منخفضة.
" أنا لا أختلف معهم حقاً - هذا يصعب إصلاحه ، ونظريته إلى حد ما " ، قال كانتينو ، الذي سبق أن حصل على جائزة فضل من جوجل عدة مرات. " ومع ذلك ، أعتقد أن هذا هو مثال مثير للاهتمام للهجوم توقيت ، ويظهر مدى صعوبة يمكن تجنب هذه الأنواع من القضايا. "