ابتكر باحثون في معهد أمن المعلومات بجامعة شتوتغارت الألمانية معياراً أمنياً جديداً ومبتكراً يهدف إلى إحباط فئة خطرة ومكتشفة حديثاً من الهجمات الإلكترونية، والتي تستهدف بروتوكولات الويب المسؤولة عن إدارة عمليات تسجيل الدخول والتحقق من الهوية في قطاعات حيوية مثل الرعاية الصحية، والتأمين، والخدمات المصرفية.
وسيقدم الفريق البحثي، بقيادة مدير المعهد البروفيسور الدكتور رالف كوسترز، والدكتور تيم وورتيل، والباحث بيدرام حسيني، آلية الدفاع الجديدة هذه خلال مشاركتهم في ندوة للأمن والخصوصية (SP2026) ستنعقد في مدينة سان فرانسيسكو الأمريكية.
ونجح الباحثون في تحديد هذا التهديد غير التقليدي، الذي لا يستهدف الأجهزة أو المواقع بشكل مباشر كالهجمات الشائعة، بل يهاجم البروتوكولات نفسها، وهي القواعد المعتمدة عالمياً التي تحدد كيفية تبادل الرسائل الرقمية بأمان.
وأطلق الباحثون على هذا الأسلوب اسم «هجوم حقن الجمهور»، حيث يستغل المهاجم ثغرات معينة للتلاعب بحقن «الجمهور» داخل وثيقة الهوية الرقمية الموقعة بين طرفين، ما يمكنه من انتحال شخصية الطرف المرسل تماماً أمام الطرف المستلم وتجاوز نظام التحقق.
واكتُشفت هذه الثغرة لأول مرة أثناء تحليل أمني لبروتوكول «OpenID Federation»، ومع توسيع نطاق الفحص باستخدام نموذج رياضي متقدم طورته جامعة شتوتغارت لإثبات أمان الأنظمة، تبين أن المشكلة تمتد لتشمل بروتوكولات عالمية واسعة الانتشار، مثل «OpenID Connect» المستخدم لتسجيل الدخول في خدمات شركات كبرى مثل «غوغل» و«أبل» و«مايكروسوفت»، بالإضافة إلى عائلة بروتوكولات «FAPI 2.0» التي تحمي مئات الملايين من الحسابات الحساسة حول العالم، ومنها منصة الرعاية الصحية الوطنية النرويجية ومحافظ استثمارية وبيانات بنكية ضخمة.
وفور اكتشاف الثغرة العام الماضي، سارع باحثو شتوتغارت إلى إبلاغ هيئات التقييس وموردي البرمجيات بشكل سري لإصلاح الأنظمة قبل الإعلان عنها، ونجحوا خلال أشهر قليلة في صياغة معايير بروتوكولية جديدة ومعتمدة لسد هذه الفجوة.
ويعتمد الحل المطور على إلزام مرسل وثيقة الهوية باستخدام قيمة جمهور محددة بدقة وغير قابلة للتلاعب، وهي عنوان IP الخاص بالمستلم حصراً.
ويعتمد الحل المطور على إلزام مرسل وثيقة الهوية باستخدام قيمة جمهور محددة بدقة وغير قابلة للتلاعب، وهي عنوان IP الخاص بالمستلم حصراً.
وفي خطوة مستقبلية، يسعى المعهد الألماني إلى أتمتة هذه التحليلات الرياضية المعقدة حاسوبياً لتسريع العملية، مع التركيز على إجراء الفحوصات الأمنية أثناء مرحلة تطوير البروتوكولات وليس بعد انتشارها لتجنب التحديثات المكلفة، وهو النهج الذي يُطبق حالياً بالتعاون مع مؤسسة OpenID لتأمين البروتوكولات التي ستشكل حجر الأساس لمحفظة الهوية الرقمية المرتقبة للاتحاد الأوروبي.
