تسجيل الدخول
برنامج ذكاء اصطناعي من غوغل يكشف السرطان       تقنية الليزر تثبت أن الديناصورات كانت تطير       يوتيوب تي في.. خدمة جديدة للبث التلفزيوني المباشر       الخارجية الأمريكية تنشر ثم تحذف تهنئة بفوز مخرج إيراني بالأوسكار       الصين تدرس تقديم حوافز مالية عن إنجاب الطفل الثاني       حفل الأوسكار يجذب أقل نسبة مشاهدة أمريكية منذ 2008       تعطل في خدمة أمازون للحوسبة السحابية يؤثر على خدمات الإنترنت       حاكم دبي يقدم وظيفة شاغرة براتب مليون درهم       ترامب يتعهد أمام الكونغرس بالعمل مع الحلفاء للقضاء على داعش       بعد 17 عاما نوكيا تعيد إطلاق هاتفها 3310       لافروف: الوضع الإنساني بالموصل أسوأ مما كان بحلب       فيتو لروسيا والصين يوقف قرارا لفرض عقوبات على الحكومة السورية       بيل غيتس يحذر العالم ويدعوه للاستعداد بوجه الإرهاب البيولوجي       ابنا رئيس أمريكا يزوران دبي لافتتاح ملعب ترامب للغولف       رونالدو وأنجلينا جولي ونانسي عجرم في فيلم يروي قصة عائلة سورية نازحة      



أداة ChatGPT ملعب خلفي للقراصنة


القاهرة : الأمير كمال فرج.

كشف محلل الأمان الشهير وصائد الأخطاء  ناجلي (ناجلينجلي) Nagli (naglinagli) مؤخرًا عن ثغرة أمنية خطيرة في ChatGPT تمكن المهاجمين من الاستيلاء على حسابات المستخدمين.

ذكر بالاجي ن في تقرير نشره موقع قناة Cyber Security News إن "مختص في الأمن السيبراني يدعى ناجلي  حذر من أن القراصنة يمكن أن يستغلوا أداة الذكاء الاصطناعي ChatGPT، وبنقرة واحدة فقط، يمكن استغلال الثغرة الأمنية بسهولة والتحكم الكامل في حساب مستخدم ChatGPT".

وأوضح ناجلي إن فتح الأبواب أمام البيانات الحساسة يتيح للمهاجمين تنفيذ إجراءات غير مصرح بها؛ تسمى "الاستيلاء على الحساب".

الاستيلاء على حساب ChatGPT

الاستيلاء على الحساب هو هجوم إلكتروني خادع حيث يتمكن المهاجم أو المتسلل من الوصول إلى حسابك بشكل غير مصرح به، إما عن طريق استغلال النظام، أو سرقة تفاصيل تسجيل الدخول الخاصة بك.

من الممكن أن يقوم المهاجم بمجموعة متنوعة من الأنشطة الضارة بعد أن يتمكن من الوصول إلى نظام أو جهاز مستهدف مثل:

ـ سرقة المعلومات الشخصية
ـ المعاملات الاحتيالية
ـ انتشار البرمجيات الخبيثة

للوصول إلى حساب ChatGPT للضحية، يستغل المهاجم ثغرة أمنية في خداع ذاكرة التخزين المؤقت على الويب. وهو ما يجعل الاستيلاء على حساب ChatGPT بنقرة واحدة هجوما ممكنًا ، مما يمكّن المهاجم عن بُعد من اختراق حساب أي مستخدم والاستيلاء على الحساب بالكامل.

هجوم الأخطاء الزائد

ثغرة خداع ذاكرة التخزين المؤقت على الويب هي ثغرة أمنية مخادعة تتيح للمهاجمين خداع أنظمة التخزين المؤقت لخوادم الويب، مما يمنحهم إمكانية الوصول إلى حسابات المستخدمين.

يمكن أن تظهر ثغرة أمنية كهذه عندما يتم إعداد ذاكرة التخزين المؤقت لخادم موقع الويب أو استخدامها بشكل غير صحيح. يمكن للقراصنة استخدام الثغرة الأمنية في حساب ChatGPT للتلاعب بصفحات الويب المخزنة مؤقتًا، أو إنشاء صفحات مزيفة لخداع المستخدمين.

أدناه ، نوضح كيفية الهجوم في خمس نقاط رئيسية ، وستمنحك هذه النقاط الرئيسية نظرة عامة يمكن الوصول إليها حول تدفق الهجوم الكامل: -

     يقوم المهاجم بصياغة مسار .css مخصص لنقطة نهاية / api / auth / session.
     يوزع المهاجم الرابط (إما مباشرة إلى الضحية أو علنًا)
     الضحايا زيارة الرابط الشرعي.
     الاستجابة مخزنة مؤقتًا.
     المهاجم يحصد أوراق اعتماد JWT.

إذا تركت هذه الثغرة الأمنية في ذاكرة التخزين المؤقت على الويب بدون تحديد ، فقد تمنح المهاجمين إمكانية الوصول إلى معلومات المستخدم الحساسة، بما في ذلك: -

     الأسماء
     عناوين البريد الإلكتروني
     رموز الوصول

بينما يتم استرداد جميع هذه البيانات المذكورة أعلاه من خادم واجهة برمجة تطبيقات OpenAI ، والتي يتم الوصول إليها عبر عنوان URL التالي: -

https [:] // chat [.] openai [.] com / api / auth / session

ثم يمكن استخدام هذه المعلومات لإنشاء طلب إلى "https://chat.openai.com/api/auth/session/victim.css." بغض النظر عما إذا كان ملف ".css" للضحية موجودًا على الخادم، فإن الخادم سيستجيب بنفس البيانات مثل "/ api / auth / session."

سيقوم الخادم بتخزين ملف CSS مؤقتًا وحفظ محتوى جلسة الضحية والبيانات ورمز الوصول في العملية بسبب الامتداد ".css".

لكي ينجح الاستغلال، يجب أن تؤكد استجابة CF-Cache-Status "HIT" المخزنة مؤقتًا. هذا يعني أنه تم تخزين البيانات مؤقتًا وسيتم تقديمها إلى الطلب التالي داخل نفس المنطقة.

عندما اكتشف ناجلي المشكلة، تصرف بسرعة ومسؤولية من خلال إبلاغ فريق ChatGPT بها. من خلال القيام بذلك، ساعد في منع الضرر المحتمل وضمان استمرار سلامة مستخدمي ChatGPT.

وعلى الرغم من عدم حصول الباحث على أي تعويض مالي مقابل جهوده، إلا أنه أكد أنه فخور بقيامه بدور في تعزيز أمن المنتج المبتكر.

تخفيف المشكلة

يعد خداع ذاكرة التخزين المؤقت على الويب ثغرة أمنية شديدة الخطورة يسهل استغلالها نسبيًا. ومع ذلك، هناك عدة طرق للتخفيف من هذه المشكلة، هي:

     يجب أن يعمل خادم ذاكرة التخزين المؤقت بناءً على رؤوس التحكم في ذاكرة التخزين المؤقت للتطبيق.
     ملفات التخزين المؤقت فقط إذا كانت رؤوس التخزين المؤقت HTTP تسمح بذلك.
     ملفات التخزين المؤقت بناءً على رأس نوع المحتوى ، وليس فقط امتداد الملف.
     إرجاع أخطاء HTTP مثل 404 أو 302 للملفات غير الموجودة.

تاريخ الإضافة: 2023-04-18 تعليق: 0 عدد المشاهدات :398
0      0
التعليقات

إستطلاع

مواقع التواصل الاجتماعي مواقع تجسس تبيع بيانات المستخدمين
 نعم
69%
 لا
20%
 لا أعرف
12%
      المزيد
خدمات