ثغرة أمنية خطيرة في برامج البريد تتيح للمتطفلين التجسس على الرسائل

مرة أخرى البريد الإلكتروني في قفص الاتهام

كشف خبراء الكمبيوتر النقاب عن ثغرة أمنية خطيرة exploit في نظام البريد الالكتروني تتيح للمتطفلين ولصوص المعلومات امكانية قراءة الرسائل والاطلاع على محتوياتها دون علم المرسل أو المستقبل مما يشكل انتهاكا لخصوصية الافراد التي تكفلتها الأعراف والقوانين الدولية.
واكد ريتشارد سميث رئيس وكالة رقابة الخصوصية والسرية الامريكية ان هذه الثغرة موجودة في معظم برامج البريد الالكتروني المستخدمة حاليا وعلى رأسها برنامج اون لوك اكسبريس وتتيح للمتطفلين وقراصنة المعلومات امكانية وضع شفرات مكتوبة بلغة جافا سكريبت Java script بحيث يمكنهم الاطلاع على الرسائل e.mail ونسخها وقال سميث.. ان هذه الشفرات تعمل بطريقة اشرطة التسجيل وهذا يعني ان مستخدميها يستطيعون الاطلاع على مضمون الرسائل وربما استغلالها في أغراض مشبوهة وغير مشروعة من بينها التجسس خاصة من قبل بعض الشركات التي تسعى للتجسس على منافسيها او من قبل بعض شركات التسويق التي لا تلتزم بأي ضوابط أخلاقية وتقوم باستغلال العناوين البريدية في إزعاج المستخدمين واغراقهم بطوفان من الإعلانات.
وأشار ستيفن كينتج المدير التنفيذي للوكالة الى ان مستخدمي برنامجي «اوت لوك اكسبريس» out look و«وينتسكيب 6» netscape اكثر عرضة للاطلاع على رسائلهم ونسخها بسبب وجود ملفات وتطبيقات جافا سكريبت التي يمكن تحويلها بسهولة الى برنامج كامل للاستنساخ. وأوضح ان هذه الثغرة موجودة في معظم برامج البريد الالكتروني التي تستخدم تطبيقات جافا وتم اكتشافها بواسطة ريتشارد فوت وقام بإجراء تجربة عملية امام خبراء وكالة رقابة الخصوصية والسرية وكانت النتائج مفزعة.
ونوه «كيتنج» الى ان برنامج ايدورا «Eudora» الذي تنتجه شركة كوالكوم لا يعاني من هذه الثغرة بالاضافة الى الاصدار من برنامج امريكا اون لاين لأنهما يقومان باغلاق وظائف تطبيقات جافا سكريبت بشكل تلقائي كما ان انظمة البريد الالكتروني التي تعتمد على نظام الويب web مثل هوت ميل وياهو دبيح فوت Big. foot yahoo hotmail تعتبر آمنة تماما من هذه الثغرة لانها تقوم بحذف اي برامج جافا من الرسائل الواردة اليها ولا تسمح لها بالدخول.
وقال «كيتنج» ان الشفرة عبارة عن مجموعة خطوط مكتوبة بلغة جافا يتم ارفاقها بالرسالة وعندما يقوم المستقبل بفتحها تعمل الشفرة على برمجة البريد الالكتروني المستهدف بحيث يقوم بارسال كل الرسائل الواردة اليه الى صاحب الشفرة دون ان يشعر المستقبل او المرسل بذلك.
من ناحيته اعلن ريتشارد فوث مكتشف هذه الشفرة انه قام بابلاغ شركتي مايكروسوفت وينتسكيب بهذه المشكلة قبل عامين من الآن وتحديدا في عام 1999م لكن الشركتين اخفقتا في حلها واشار الى ان المستخدمين يمكنهم توفير بعض الحماية المؤقتة لرسائلهم من خلال ازالة لغة جافا سكريبت من برامج البريد الالكتروني التي يستخدمونها، لكن هذا الحل لن يكون عمليا وفعلا الا اذا قام كل من يتسلم الرسالة باتخاذ نفس الخطوة في برنامجه.
وفي اول رد فعل له حول هذه المشكلة اعلن مركز الطوارئ في شركة مايكروسوفت ان الثغرة التي تتحدث عنها وكالة رقابة الخصوصية والسرية لا تمثل عيبا في برنامج آوت لوك ولكنها في لغة HTML المستخدمة في تصميم البرنامج.
وقال المتحدث باسم المركز ان الاصدار الحديث من برنامج اوت لوك يوفر للمستخدمين امكانية اغلاق تطبيقات جافا سكريبت بشكل مؤقت الى حين قيام الشركة باصدار تحديد PATCH لعلاج الخلل الموجود.