في خطوة جديدة لتعزيز الأمان، أعلنت شركة Google أن متصفح كروم سيبدأ قريباً في عرض نافذة تطلب إذن المستخدم عندما تحاول مواقع الويب أو التطبيقات على الهاتف المحمول الاتصال بـlocalhost (الجهاز المحلي) أو الوصول إلى أجهزة متصلة بالشبكة الداخلية (LAN).

تصاعد الهجمات الخبيثة على الشبكات المنزلية

تتطلع جوجل عبر هذه النافذة الأمنية نحو منع الهجمات الإلكترونية المتزايدة التي تستغل متصفحات المستخدمين للوصول إلى أجهزتهم المنزلية دون علمهم، بحسب موقع Risky.

أصبح من الشائع أن يقوم مهاجمون إلكترونيون بخداع المستخدمين للدخول إلى مواقع ضارة تقوم بتشغيل شفرة خبيثة من خلال المتصفح.

ويأتي هذا الإجراء في ظل تصاعد الهجمات الإلكترونية التي تستهدف الشبكات المنزلية عبر المتصفحات، حيث يقوم بعض المهاجمين بإقناع المستخدمين بزيارة مواقع ضارة تحتوي على شيفرات خبيثة قادرة على الوصول إلى أجهزة الراوتر أو الأجهزة الذكية المرتبطة بالشبكة، واستغلالها في أنشطة غير مشروعة مثل الاحتيال الإعلاني أو تكوين شبكات «بوت نت».

ثغرات أمنية في متصفح كروم

•يقوم الموقع أو التطبيق بتحميل أوامر خفية في الخلفية عبر المتصفح.

•هذه الشيفرات قد تحتوي على ثغرات من نوع CSRF (تزوير طلب عبر المواقع) تستهدف:

أجهزة الراوتر في المنزل.

الأجهزة الذكية المتصلة بالإنترنت (IoT).

يتم استغلال هذه الأجهزة لاحقاً في أنشطة مثل:

الاحتيال الإعلاني.

تكوين شبكات «بوت نت» لشن هجمات على نطاق واسع.

لا تقتصر المشكلة على مواقع الويب

حتى بعض التطبيقات الآمنة على الهواتف المحمولة يمكنها إنشاء قنوات سرية عبر localhost لنقل بيانات المستخدم دون علمه، أو لتتبع هويته وتحركاته.

ووفقاً لجوجل، فإن هذه الهجمات غالباً ما تعتمد على ثغرات من نوع CSRF (تزوير طلب عبر المواقع)، والتي تُمكن القراصنة من تنفيذ أوامر عن بُعد دون علم المستخدم، من خلال المتصفح فقط.

الأسوأ من ذلك أن بعض التطبيقات المحمولة، سواء كانت مشبوهة أو حتى موثوقة، يمكن أن تنشئ اتصالات سرية عبر localhost، ما يُعرض خصوصية المستخدمين للخطر، ويتيح تتبعهم أو كشف هويتهم.

كيف يحميك تحديث جوجل الجديد؟

تهدف الميزة الجديدة في كروم إلى منع تنفيذ هذه الأكواد تلقائياً، حيث لن يُسمح لأي موقع أو تطبيق بالوصول إلى الأجهزة أو الموارد المحلية إلا بعد موافقة صريحة من المستخدم عبر إشعار واضح يظهر في المتصفح.

ويُعد هذا التحديث جزءاً من سياسة أمنية استباقية تتبعها جوجل، بهدف حماية المستخدمين من الهجمات غير المرئية التي تستغل ضعف الحماية في الشبكات الداخلية.

ويأتي ذلك في وقت تتزايد فيه الهجمات التي تستهدف الخصوصية والبيانات من داخل المنزل نفسه، وليس فقط عبر الإنترنت المفتوح.

•يمنع كروم تشغيل هذه الشيفرات تلقائياً.

•يتم عرض طلب إذن صريح للمستخدم قبل السماح لأي موقع أو تطبيق بالوصول إلى مواردك المحلية.

•المستخدم هو من يقرر ما إذا كان يريد السماح أو الرفض.

•ميزة «الوصول إلى الشبكة المحلية» في كروم تحل محل نظام الحماية السابق.

•تأتي النافذة الأمنية الجديدة ضمن إطار ميزة أمان جديدة في متصفح كروم تحمل اسم «الوصول إلى الشبكة المحلية» (Local Network Access)، والتي تستبدل ميزة سابقة تُدعى «الوصول إلى الشبكة الخاصة» (Private Network Access - PNA)، كانت تهدف أيضاً إلى منع المواقع من الوصول التلقائي إلى موارد الشبكة المحلية.

متى يصل تحديث كروم الأمني من جوجل؟

كانت Google قد أوقفت العمل بـPNA في العام الماضي بعد مواجهتها مشكلات في التوافق، خصوصاً في الشركات الكبيرة التي تعتمد على إنترنت مركزي، حيث تسببت الميزة في حجب مفرط للاتصالات المشروعة داخل شبكات الشركات.

الميزة الجديدة تعتمد على أسلوب أكثر مرونة من خلال عرض إشعار يطلب إذن المستخدم، ما يسمح بالسماح بالاتصال المحلي فقط عندما يكون ضرورياً، بدلاً من المنع التلقائي الكامل الذي تسبب في مشكلات سابقة.

وتبدأ Google في اختبارات الميزة الجديدة مع الإصدار 138 من متصفح Chrome، والذي من المنتظر إطلاقه خلال الأسبوع الأخير من يونيو 2025.