هک شدن روش تایید هویت weblogin گوگل برای دستگاه های اندرویدی

در کنفرانس امنیتی Def Con که لاس وگاس میزبان آن است، یک روش هک جدید معرفی شده که می تواند کاربران اندرویدی را با خطر جدی روبرو کند.

یکی از ویژگی های سایت های تحت اداره گوگل قابلیت weblogin برای اندروید است که با ارائه "رمز یا ژتونی منحصر به فرد" به کاربر٬ امکان استفاده مستقیم از "آن" بر روی وب سایت های مذکور را می دهد. البته در این روش دستگاه های مورد استفاده از قبل تعیین می شوند.

کاربران اندروید با استفاده از این قابلیت٬ می توانند در وبسایت های گوگل بدون نیاز به وارد کردن رمز اصلی حساب شان به محتوای داخلی مراجعه کنند. اما یک محقق امنیتی به نام کریگ یانگ در کنفرانس اخیر نشان داده که چطور با استفاده از اپلیکیشن های دزد می توان از چنین رمزهایی سوء استفاده کرد و به حساب ها وارد شد.

در راهکار به نمایش در آمده٬ اپلیکیشن خرابکار رمز های انحصاری weblogin را دزدیده و برای هکر ارسال می کند. او نیز می تواند بر روی مروررگر خود از شان برای ورود به حساب های کاربر بی خبر از همه جا استفاده کند و در اپلیکیشن های تحت وب گوگل٬ جیمیل٬ درایو٬ وُیس و سرویس های گوگل٬ خود را به عنوان او جا بزند. 

این روش هک مساوی است با امکان دسترسی به اسناد شخصی٬ قرار ملاقات های ثبت شده در تقویم گوگل٬ ایمیل ها٬ تاریخچه جستجوی فرد در گوگل٬ و سایر اطلاعات شخصی حساسی که در سرویس های مذکور ثبت شده اند. خودتان تصور کنید که چه بلاهایی می شود بر سر صاحب حساب آورد.

بنابراین وقتی اپلکیشنی از شما تقاضای دسترسی می کند و در متن اجازه دسترسی کلماتی نظیر weblogin یا ID آمده٬ جواب شما مشخص است: نه!