محققان امنیتی اخیراً یک نقص امنیتی مهم را در گوگل کشف کرده‌اند که به مهاجمان اجازه می‌دهد بدون نیاز به رمز عبور، به حساب‌های گوگل افراد دسترسی پیدا کنند. این نقص از یک آسیب‌پذیری در پروتکل احراز هویت دو مرحله‌ای گوگل (OAuth2) ناشی می‌شود. در این حمله، آن‌ها ابتدا یک وب‌سایت مخرب ایجاد می‌کنند که می‌تواند کوکی‌های شخص ثالث را در مرورگر کاربران ذخیره کند، سپس قربانیان را فریب می‌دهند تا از آن وب‌سایت بازدید کنند. هنگامی که قربانی از وب‌سایت مخرب بازدید می‌کند، مهاجم می‌تواند کوکی‌های شخص ثالث را از مرورگر قربانی بدست آورد. این کوکی‌ها حاوی اطلاعات احراز هویت کاربر، از جمله رمز عبور و کد تأیید هویت دو مرحله‌ای هستند. با داشتن این اطلاعات، آن‌ها می‌توانند به حساب‌های گوگل قربانی دسترسی پیدا کنند، حتی اگر قربانی رمز عبور خود را تغییر داده باشد.
در صورت موفقیت‌آمیز بودن عملیات، این حمله یک تهدید جدی برای کاربر به شمار می‌آید، زیرا به مهاجم امکان می‌دهد بدون هیچ مشکلی به اطلاعات شخصی کاربران، از جمله ایمیل‌ها، مخاطبین، عکس‌ها، فیلم‌ها، و سایر اطلاعات دسترسی پیدا کند. وی همچنین می‌تواند از این اطلاعات برای اهداف مجرمانه، مانند کلاهبرداری، سرقت هویت، یا انتشار اطلاعات حساس، سوءاستفاده کند.

توصیه‌های امنیتی
کاربران باید به طور مداوم اقداماتی جهت حذف هرگونه بدافزار از رایانه خود انجام دهند. این اقدامات می‌تواند شامل موارد زیر باشد:
•    استفاده از یک برنامه آنتی‌ویروس یا ضد بدافزار معتبر جهت اسکن رایانه به طور منظم.
•    حذف هرگونه نرم‌افزار یا برنامه مشکوک از رایانه.

منبع خبر:سایت مرکز ماهر