لماذا يحتوي متصفح Chrome على عيوب أمنية أكثر من ذي قبل

تظهر المزيد والمزيد من نقاط الضعف

في مدونة أمان Google ، نجد المزيد والمزيد من الثغرات الأمنية في متصفح Chrome ، ويبدو أنه كانت هناك زيادة كبيرة إلى حد ما في الثغرات الأمنية التي تم العثور عليها ، وكيف يستفيد مجرمو الإنترنت لإطلاق الثغرات ومحاولة إصابة المستخدمين. المستخدمين. ومع ذلك ، كما علقوا على مدونة الأمن الرسمية ، فإن هذا ليس هو الحال.

السبب الرئيسي الذي يجعل Chrome يبدو الآن به المزيد من العيوب الأمنية هو لأنه لديه رؤية أكبر للمهاجمين ، في الواقع هذا شيء جيد ، لأنه يعني أنه يمكنهم الاستجابة لهذه الثغرات الأمنية باستخدام تصحيحات أسرع بكثير من ذي قبل ، بهدف حماية مستخدميها. قبل بضع سنوات ، لم تكن الثغرات الأمنية في Chrome تتمتع بقدر كبير من الوضوح ، على الرغم من أنه قد يبدو أنه لم تكن هناك أخطاء ، إلا أنها كانت "مخفية". الآن تغير هذا بشكل جذري ويسمح لـ Google بحلها في وقت أقرب بكثير ، بالإضافة إلى أنهم يتعلمون أيضًا كيف يعمل المهاجمون الحقيقيون.

قام فريق Project Zero التابع لشركة Google بتتبع جميع الثغرات الأمنية في يوم الصفر ، أي نقاط الضعف غير المعروفة التي يستغلها المهاجمون لصالحهم. في الرسم البياني التالي ، يمكنك رؤية متصفحات الويب الرئيسية والعيوب الأمنية ذات الصلة ، مع إيلاء اهتمام خاص لبرنامج Flash البائد الآن وأيضًا WebKit ، على الرغم من أنها ليست متصفحات ، إلا أنها كانت أو تشكل جزءًا من المتصفحات بطريقة مهمة جدًا.

كما رأيت ، بين عامي 2015 و 2018 ، يبدو أنه لم يكن هناك ثغرة أمنية في Google Chrome ، وهو أمر غير ممكن. لم يكتشف الفريق أي أيام صفر خلال تلك السنوات ، لكن هذا لا يشير إلى أنه لم يكن هناك أي أيام وأنه تم استغلالهم خلسة من قبل مجرمي الإنترنت. اعتبارًا من عام 0 ، نمت الثغرات الأمنية في Chrome بشكل كبير جدًا ، ولكن هذا بسبب أنها ببساطة أصبحت أكثر وضوحًا من ذي قبل ، أي أن هناك المزيد من الشفافية مع 2019 أيام.

أحد الأسباب الأخرى التي علّق عليها مسؤولو Google هو استمرار Chrome في النمو وزيادة حصته من الاستخدام ، وهذا يعني أن مجرمي الإنترنت يركزون بشكل أكبر على متصفح الويب هذا لأنه قد يؤثر على المزيد من الضحايا المحتملين. يريد مجرمو الإنترنت دائمًا كسب المال ، ويحاول أهدافهم أن يكونوا متعددين جدًا ، بهدف إحداث أكبر قدر ممكن من الضرر. ليس من المنطقي إنفاق الكثير من الموارد على متصفح ويب نادر الاستخدام ، لأن الضحايا المحتملين سيكونون قليلًا في العدد. يجب أن نضع في اعتبارنا أيضًا أنه قبل عام 2019 ، كان Flash دائمًا ما يتعرض للهجوم ، لأنه كان عبارة عن برنامج كان مجرد تسلل حقيقي لمدة يوم واحد ، ومع اختفائه ، ركز مجرمو الإنترنت بشكل أكبر على Chrome.

يجب أن نضع في اعتبارنا أيضًا أنه في السابق كانت هناك حاجة إلى فشل واحد فقط لمدة 0 يوم لاختراق متصفح الويب ، والآن هناك حاجة إلى يومين على الأقل. سيعمل الفشل الأول على تنفيذ الشفرة ، وسيؤدي فشل آخر إلى ترك هذا الرمز لوضع الحماية الذي يستخدمه Chrome ، وبالتالي فإن هذا "يثبّت" الإحصائيات. أخيرًا ، أصبح متصفح Chrome أكثر تعقيدًا من ذي قبل ، وهذا يتسبب في حدوث أخطاء برمجية وتزايد عدد الأيام 0 الممكنة ، للتخفيف من هذه المشكلة قليلاً ، يستمرون في تحسين وضع الحماية لعزل جميع صفحات الويب.

باختصار ، الأسباب التي تجعل Chrome يبدو الآن به المزيد من العيوب الأمنية هي:

1. شفافية أكبر عند إبلاغ المستخدمين عن ثغرات أمنية لمدة يوم واحد.
2. تطور المهاجمين ، فقد تخلوا عن Flash للتركيز على شعبية Chrome.
3. يتطلب الأمر خطأين أمنيين على الأقل بدلاً من خطأ واحد لتسوية عملية العرض وصندوق الحماية ، لذلك يضاعف هذا الإحصائيات. من الممكن أيضًا أن تكون هناك حاجة إلى ربط العديد من حالات الفشل معًا لتحقيق خطوة واحدة.
4. برامج أكثر تعقيدًا والمزيد من الأخطاء البرمجية المحتملة.

على الرغم من ظهور المزيد والمزيد من الأخطاء ، يشارك فريق Chrome بشكل كبير في العديد من المشاريع التي تهدف إلى توفير أفضل أمان ممكن:

• عزل محسّن لموقع الويب ، خاصة على نظام Android
• صندوق حماية الكومة: سيمنع المهاجمين من استخدام أخطاء تجميع JavaScript JIT.
• MiraclePtr و * مسح المشاريع لتجنب استغلال أكبر أخطاء عملية المتصفح.
• اكتب أجزاء من Chrome بلغات برمجة آمنة للذاكرة. يمثل هذا عادةً ما يصل إلى 70٪ من أخطاء الأمان القابلة للاستغلال.
• طرق للتخفيف من أخطاء 0 يوم.

كما ترى ، على الرغم من زيادة عدد إشعارات 0 يوم من Chrome ، فإن هذا لا يعني أنه لم يكن هناك أي إشعارات من قبل ، فقط أنهم لم يكونوا متصلين.