التصفح في الوضع المتخفي لا فائدة له بسبب Super Cookies

تحتوي معظم متصفحات الويب الشهيرة على "وضع التخفّي" وهو عبارة عن وضع خالي تماماً من أي معلومات أو ملفّات "كوكيز" تسمح لمواقع الويب بالتّعرف عليك.

يسمّى هذا الوضع في متصفح غوغل كروم "وضع التخفّي Incognito Mode" وفي متصفح موزيلا فايرفوكس "وضع التصفح الخاص Private Mode "، ولكن يوجد ثغرة أمنيّة في وضع التخفّي هذا! حيث اكتشف مطور برمجيات في لندن سطور من التّعليمات البرمجيّة التي تجعل عملية الانتقال من الوضع العادي إلى وضع التخفّي عديمة الفائدة إلى حدٍّ ما.

على سبيل المثال، لو قمت باستخدام التّصفح العادي للقيام بالتسوق عن طريق موقع آمازون ثم لزيارة فيسبوك، ثم قمت بتشغيل وضع الخصوصيّة لزيارة موقع ما أو مدوّنة مثيرة للجدل تحتاج للمزيد من الحذر عند زيارتها، ووجدت في ذلك الموقع أو المدونة إعلان من موقع آمازون أو زر "أعجبني" التابع لـ فيسبوك، فإن آمازون و فيسبوك سيعرفان أن هذا الشخص هو نفسه الذي زار الموقعين السابقين و كذلك المدوّنة.

شرح المشكلة:

من المثير للسخرية أن الثغرة التي تسبب هذه المشكلة موجودة في ميّزة تستخدم للحفاظ على الخصوصية والأمان وتعرف هذه الميزة باسم HTTP Strict Transport Security) HSTS).

تستخدم المواقع HSTS لكي تضمن أن يتم الاتصال مع المستخدم عن طريق HTTPS فقط، وذلك بإضافة مؤشرflag على الترويسة التي يستقبلها المتصفح عند إرسال طلب إلى المخدّم server .

تضمن HSTS أن جميع الاتصالات التي ستتم لاحقاً مع الموقع ستكون مشفرة باستخدام بروتوكول HTTPS الذي يحمي المستخدمين من هجمات القراصنة عن طريق تحويل المعلومات من نص عادي إلى مشفر.

كشف الباحث الأمني المستقل سام غرينهال في مدونته بأن متصفحات الويب تقوم بالتذكر في حال تم استخدام بروتوكول HTTPS من خلال حفظ HSTS Super Cookies لتضمن أن الاتصال في المرة القادمة مع الموقع ذاته سيكون باستخدام HTTPS، و هي تضمن ذلك حتى في وضع التخفّي.

هناك نقطتان تعطيان الـ"سوبر كوكيز" القوة: الأولى هي أن ملفات الـ"كوكيز" ستكون مرئية في الوضع العادي واوضع التخفّي، والثانية هي أنه يمكن قراءتها من قبل مواقع بأسماء نطاقات مختلفة و ليس فقط من قبل الموقع نفسه الذي أنشأ ملف الـ"كوكي"، وبالتالي "سوبر كوكيز" سمحت لتطبيقات ومواقع ويب أخرى مثل الإعلانات أو أزرار مواقع التواصل الاجتماعي بتذكّر وتتبع حركات المستخدم أيضاً.

أضاف الباحث سام أنه لم يتم استخدام هذه الثغرة من قبل الشركات حتى الآن، ولكن بما أن هذه الطريقة أصبحت معروفة فإنه لا يوجد شيء يوقفهم.

يرى أحد مؤسسي شركة برمجيات حماية الخصوصية على الانترنت Abine بأن "سوبر كوكيز" هي الموجة القادمة للتتبّع والّتطفل، حيث بدأ الأمر بملفات "الكوكيز" ثم أتت "سوبر كوكيز" وجعلت الوضع أكثر صعوبة للدّخول على الانترنت بشكل مجهول.

حل المشكلة:

الحل لهذه المشكلة بسيط نسبيّاً، وهو إمّا أن تحذف ملفات الـ"كوكيز" جميعها قبل الدخول إلى اوضع التخفّي وهذا سيؤدي إلى حذف ملفات HSTS Super Cookies أيضاً، أو أن تستخدم متصفح آخر للتصفح بوضع التخفّي غير الذي تستخدمه للتصفح العادي. ولكن لسوء الحظ، لا يمكن لمستخدمي أجهزة آبل Apple الهروب من هذه الثغرة كونه لا يوجد طريقة لحذف "سوبر كوكيز" من متصفحات سفاري Safari على أجهزة النظام iOS.

قامت شركة موزيلا بإصلاح المشكلة في أحدث نسخة من متصفح فايرفوكس وذلك عن طريق التخلي عن الميزة التي تسمح بتذكر الاتصال HTTPS، بعكس غوغل كروم التي لم تتخلى عنها حيث اختارت تفضيل الأمان والحماية على الخصوصية، أما بالنسبة لمتصفح مايكروسوفت إنترنت اكسبلورر فهو غير معرض للثغرة لأنه لا يدعم ميزة تذكر HTTPS.

أخيراً، تعتبر HSTS Super Cookies مثالا جيداً أنّ الميزات والتحسينات الجديدة التي تضاف لزيادة أمان وحماية الخصوصية، قد توفر بعض الثغرات التي يمكن للقراصنة استغلالها واستخدامها، مما يدفع مطوري متصفحات الويب إلى إعادة التفكير بطرق أخرى ضمن خيارات محدودة تسمح بتأمين هذه الحماية بشكل أفضل.

المصادر هنا و هنا