ثغرة خطيرة تضرب «جيميل» و«جوجل درايف»: تحذير لـ3 مليارات مستخدم
قال بليك بارنز، نائب رئيس قسم المنتجات لخدمة «جيميل» في شركة «جوجل»، إن «3 مليارات مستخدم يعتمدون على جيميل للتواصل وإنجاز المهام»، بينما يقدر عدد المستخدمين النشطين لخدمة «جوجل درايف» بنحو مليار مستخدم.
وكشف تقريراً جديداً عن وجود خلل في عملية التكامل بين الخدمتين، مما يشكل تهديداً أمنياً كبيراً لـ «كل فرد يمتلك حساب جيميل تقريباً».
وأكد التقرير أن المهاجمين يمكنهم استغلال الخدمتين كبنية تحتية موثوقة لتوصيل البرامج الضارة، من خلال إرسال مرفقات خبيثة تحمل ختم الموافقة المضلل والخطير: «فُحص بواسطة جيميل».
وتمتلك خدمة البريد المجانية الأكثر شعبية في العالم، «جيميل»، الكثير من الإيجابيات الأمنية، وهي بحاجة ماسة إليها نظراً لتعرضها لهجمات مستمرة من القراصنة والمحتالين.
وكذلك، تمتلك «جيميل» و«جوجل درايف» أيضاً آليات لمنع استخدامهما في توزيع الملفات الضارة.
ومع ذلك، كشف الباحث الأمني في مختبرات «بنتيرا»، بن إلكاشي، أنه من الممكن للمهاجم استغلال هذه الآليات لإحداث تأثير مدمر.
ويتساءل إلكاشي: «ماذا لو أخبرتك أنه يمكنك خداع آلة لعرض المرفق الخبيث الخاص بك على أنه آمن تماماً؟ ماذا لو أخبرتك أنه يمكنك جعل جوجل نفسها تصادق على حمولة التصيد الاحتيالي الخاصة بك، وتحقق فعلياً الكأس المقدسة لهجمات التصيد؟»، في إشارة إلى المصداقية المطلقة التي تمنحها هذه الثغرة للمهاجمين.
وسلط بحث إلكاشي الضوء على اختلال داخل إطار الأمان الموحد لشركة «جوجل»، مما يسمح للبرامج الضارة التي يتم «حظرها صراحة بواسطة ماسح المرفقات في جيميل» بالاستضافة على «درايف» وتسليمها للمستلمين مع علامة الثقة «فحص بواسطة جيميل».
وبعد الإبلاغ عن الثغرة لأول مرة عبر برنامج مكافآت ثغرات «جوجل» في 14 ديسمبر 2025، أكدت الشركة أنها نسخة مكررة من «مشكلة يتم تتبعها داخلياً»، وأشارت وحدة الثقة والأمان في 22 يناير إلى أنه «لا يتوفر جدول زمني للإصلاح».
كيف تعمل الثغرة المزدوجة؟
ظهر هذا الخطأ الأمني الخطير عندما كان إلكاشي يبحث في الاستخدام الخبيث لملفات «SVG» كحمولة لحملات التصيد الاحتيالي.
وأوضح أنه أثناء اختباراته، واجه حظراً للمرفق في «جيميل» مع علامة «تم اكتشاف فيروس»، مما منع إرسال الحمولة.
كما تمتلك خدمة «جوجل درايف» آلية مسح تحدد الملفات الضارة كـ «تم الإبلاغ عن إساءة استخدام»، وتمنع أي شخص باستثناء المؤلف من تنزيلها، إلى جانب ظهور رسالة تحذيرية للمستخدمين.
لكن النبأ السيئ هو أن إلكاشي تمكن من إرسال عينة خبيثة من نوع «SVG»، كان قد تم تحديدها مسبقاً بواسطة «جيميل» على أنها فيروس ومنعت من الإرسال، وذلك باستخدام «جوجل درايف» كمنصة استضافة.
وأوضح إلكاشي: «على عكس اكتشاف جيميل، لم يُصنف جوجل درايف هذا الملف على أنه خبيث»، ولقد سمحت ميزة مرفقات «درايف» بتحميل الفيروس وتكوينه ليكون متاحاً لأي شخص يمتلك رابط المشاركة.
ويبدو أن المشكلة تكمن في أن «جيميل» يمنح ثقة ضمنية للملفات التي تنشأ من «درايف»، مفترضاً أنها تم فحصها مسبقاً داخل النظام البيئي الداخلي، وبالتالي يتجاوز خطوات التحقق القياسية الخاصة به.
ولم يتوقف الأمر عند هذا الحد، فقد اكتشف إلكاشي خللاً ثانياً يتعلق بالملفات التي يحظرها «جيميل» لأسباب أمنية دون تصنيفها كفيروس معروف.
وعند تحميل هذه الملفات إلى «درايف» دون أن تُصنف كـ «تم الإبلاغ عن إساءة استخدام»، واجه النظام مشكلة في المسح غير المكتمل.
ويظهر «درايف» تحذيراً حول المخاطر المحتملة، لكن عندما أرفق إلكاشي رابط المشاركة في بريد إلكتروني، قدم الملف كـ«مرفق» مصحوباً بعلامة «فحص بواسطة جيميل»، وغابت شاشة التحذير المتوقعة تماماً عند تنزيل الملف مباشرة من واجهة البريد الإلكتروني.
رد فعل «جوجل»
صرح متحدث باسم «جوجل» قائلاً: «حماية مستخدمي جوجل وورك سبيس هي أولويتنا القصوى.. يقوم جيميل وجوجل درايف تلقائياً بحظر الغالبية العظمى من الملفات الضارة قبل أن تصل إلى صندوق الوارد».
وأضافت الشركة أنها تعمل بنشاط على تحديث واجهة المستخدم لتوضيح كيفية عرض فحوصات الأمان عند مشاركة الملفات عبر روابط «درايف»، مشددة على أن الدفاعات المدمجة لا تزال تعمل بكفاءة.
ورغم ذلك، تؤكد مختبرات «بنتيرا» أن المشكلة تظل قابلة للاستغلال من قبل الخصوم المتحمسين، ناصحة جميع المستخدمين بالتعامل مع رسائل البريد التي تحتوي على روابط أو مرفقات من «جوجل درايف» على أنها خطيرة محتملة، بغض النظر عن أي علامة فحص من «جيميل».