X

חדשות רעות: האקרים יכולים לפרוץ לחשבונות גוגל גם ללא סיסמה

דיווח שעלה בימים האחרונים מתאר שיטה חדשה של האקרים לניצול חולשה בקבצי עוגיות • גוגל שחררה עדכון שהיה אמור לפתור את הנושא, אבל קבוצת תוכנות זדוניות הצליחו לעקוף אותה • ומה בכל זאת ניתן לעשות?

דניאלה גינזבורג
, עודכן
0השמעה
האקר פורץ לחשבונות. אילוסטרציה. צילום: ThinkstockPhotos

רוב האתרים שבהם אנחנו גולשים בדפדפן האינטרנט שלנו, יבקשו מאיתנו לאשר או לדחות קובצי Cookie (עוגיות). הקבצים האלה, שנועדו במקור להיות מוגבלים בזמן, מאוד יעילים ובאמצעותם האתר "זוכר" בין היתר את עגלת הקניות ופרטי ההתחברות של משתמשים.

אבל כמובן שהפרצה קוראת לגנב. דיווח שעלה לאחרונה מתאר שיטה חדשה של האקרים לפרוץ לחשבונות גוגל, על ידי שחזור קבצי עוגיות פגי תוקף, המשמשים לצרכי אימות חשבונות.

הנשיא ביידן נפגש עם בכירים ממיקרוסופט וגוגל. AI מקל על תוקפים. ארכיון צילום: רויטרס

במילים פשוטות - האקרים הצליחו להשתמש בקבצי העוגיות האלו כדי לעקוף את האימות הדו-שלבי שלבי של גוגל ולקבל גישה חופשית לחשבונות גוגל של משתמשים. כידוע, חשבונות אלו מכילים לרוב נתונים מאוד רגישים כמו מספרי כרטיסי אשראי, שמות משתמש וסיסמאות לאתרים אחרים, בהם אתרי בנק וכו'.

עדיין לא נמצא פתרון לחולשה

הדרך הטובה ביותר להגן על חשבון גוגל, כך לפי מומחי סייבר, היא גם פשוטה מאוד – שינוי קבוע של הסיסמה לחשבון. לטענת המומחים, ביצוע יציאה רגילה מהחשבון, לא תמנע את השימוש הזדוני בקבצי העוגיות.

כניסה לחשבון גוגל. האקרים מנצלים חולשה ומשתמשים בקבצי עוגיות על מצנת לפרוץ לחשבונות, צילום: צילום מסך

יחד עם זאת, יש לציין כי נכון לכתיבת שורות אלו, גוגל עדיין לא פתרה את הנושא. החברה אמנם פרסמה אמצעי שנועד לכאורה לטפל בחולשה, אבל קבוצת התוכנות הזדוניות Lumma הוציאה עדכון שהצליח לעקוף אותו.

החדשות הרעות הן שעד שהחולשה לא תטופל על ידי החברה, עדיין קיים סיכוי שהאקרים יצליחו לפרוץ לחשבונות גוגל, גם לאלו שהחליפו את הסיסמה. לטענת המומחים, עד שלא ישוחרר עדכון קבוע, הסיכוי הטוב ביותר של משתמשים להגן על עצמם הוא החלפת סיסמה באופן קבוע ותדיר.

דף הבית של Gmail. חשבונות גוגל מכילים מידע רב ורגיש של משתמשים, צילום: גוגל, צילום מסך

גוגל נגד העוגיות

בימים האחרונים דווח כי גוגל החלה לבצע שינויים באופן שבו חברות עוקבות אחר משתמשים באינטרנט, זאת על ידי פיצ'ר חדש בדפדפן הכרום שישבית קבצי עוגיות של גורמי צד שלישי.

הפיצ'ר צפוי להיות זמין בהתחלה לאחוז אחד בלבד מכלל משתמשי כרום (כ-30 מיליון איש), כאשר בגוגל טוענים כי הסיבה לכך היא שהפיצ'ר כרגע נמצא ב"בדיקה", ובהמשך השנה ישוחרר העדכון לכלל המשתמשים.

מנוע החיפוש של גוגל. קבצי עוגיות אוספים מידע רחב מאוד על משתמשים, צילום: רויטרס

מלבד העובדה שקבצי עוגיות שומרים כאמור על פרטי התחברות ועגלת הקניות, הם משמשים בנוסף אתרים ומפרסמים על מנת לאסוף מידע רחב על גולשים – פעילות באתר, מיקום בעולם, סוג המכשיר בו הגולשים משתמשים, היסטוריית גלישה ואפילו לאן הגולשים ממשיכים לאחר מכן בשיטוטיהם באינטרנט.

לטענת אנתוני צ'אבס, סמנכ"ל ניהול המוצר בגוגל, פיצ'ר זה נועד במטרה לשמור על הגלישה באינטרנט פרטית יותר. "אנו נוקטים בגישה אחראית ומבטלים בהדרגה קבצי עוגיות של צד שלישי בדפדפן הכרום".

מנכ"ל גוגל, סונדאר פיצ'אי. מה קורה בחברה?, צילום: GettyImages

"אם משתמש יהיה במצב של גלישה ללא קבצי עוגיות של צד שלישי וכרום יבחין כי קיימת בעיה, תקפוץ למשתמשים הנחיה כיצד להפעיל מחדש את קבצי העוגיות, שיפעלו באופן זמני בלבד".

יש לציין כי מתחרות של גוגל כרום, בהן דפדפן ספארי של אפל ופיירפוקס של מוזילה, מציעות כבר זמן רב אפשרות לחסום קבצי עוגיות של צד שלישי. אך עם זאת, גוגל כרום הוא עדיין הדפדפן הפופולרי ביותר בעולם. 

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
גוגלהאקריםטכנולוגיהמתקפת סייברפריצה

כדאי להכיר