يوصي الباحثون بتعطيل WPAD على نظام Windows على وجه السرعة
بروتوكول الاكتشاف التلقائي لوكيل الويب (WPAD) هو بروتوكول تكوين تلقائي للخادم الوكيل يستخدمه العملاء (المتصفح) لتحديد موقع (URL) ملف التكوين باستخدام تقنيات DHCP و / أو DNS. عند تقديم طلب ، يستدعي المتصفح وظيفة FindProxyForURL من ملف PAC ، حيث يتم نقل عنوان URL والمضيف. الإجابة المتوقعة هي قائمة بالبروكسيات التي سيتم من خلالها الوصول إلى هذا العنوان.يتم تمكين WPAD بشكل افتراضي على Windows ، ويدعمه أنظمة تشغيل أخرى. لكن هذا البروتوكول يخضع لعدد من نقاط الضعف ، كما هو موضحأخصائيو أمن المعلومات أليكس تشابمان وبول ستون في ديفكون. يمكن للمهاجمين الذين يستخدمون نقاط الضعف هذه الحصول على بيانات الضحايا (سجل البحث ، والوصول إلى الحسابات ، والصور ، والمستندات ، وما إلى ذلك) ، على الرغم من اتصالات HTTPS أو VPS. نوع الهجوم المستخدم في هذه الحالة هو رجل في الوسط.PAC- Dynamic Host Configuration Protocol (DHCP), Domain Name System (DNS) Link-Local Multicast Name Resolution (LLMNR). WPAD, PAC-, -, . , , , .
, WPAD . WPAD , Windows-, .
- HTTP-. , HTTPS (HTTP Secure). , PAC- -, DNS lookup, -«» , HTTPS URL .
يجب إخفاء عنوان URL الكامل لـ HTTPS لأنه يحتوي على رموز مصادقة ومعلومات خاصة أخرى. ولكن يمكن للمهاجم استرداد العنوان. على سبيل المثال ، يمكن استعادة example.com/login؟authtoken=ABC1234 باستخدام استعلام DNS https.example.com.login.authtoken.ABC1234.leak واستعادته إلى خادم الجرائم الإلكترونية.باستخدام هذه الطريقة ، يمكن للمهاجم الحصول على قائمة باستعلامات بحث الضحية أو معرفة أي مقالات لمورد معين تقرأه الضحية حاليًا. هذا ليس جيدًا جدًا من حيث أمن المعلومات ، ولكن يبدو أنه ليس خطيرًا للغاية. صحيح أن مشاكل الضحية لا تنتهي عند هذا الحد.طور الباحثون نوعًا آخر من الهجوم يمكن استخدامه لإعادة توجيه مستخدم نقطة وصول لاسلكية مفتوحة إلى الصفحة المزيفة لنقطة الوصول. تجمع العديد من الشبكات اللاسلكية بيانات المستخدم باستخدام صفحات خاصة. بعد إدخال بياناته ، يحصل المستخدم على الوصول إلى الإنترنت (غالبًا ما يستخدم مثل هذا المخطط من قبل مزودي اللاسلكي في المطارات).الصفحة ، التي شكلها مجرمو الإنترنت ، تقوم بتحميل Facebook أو Google المألوف للمستخدم في الخلفية ، ثم تقوم بإجراء إعادة توجيه 302 HTTP إلى عناوين URL أخرى ، شريطة أن تتم مصادقة المستخدم. إذا كان المستخدم قد قام بالفعل بتسجيل الدخول إلى حسابه ، ولم يقم معظم الأشخاص بتسجيل الخروج من حساباتهم على موارد مختلفة ، والعمل من جهاز الكمبيوتر أو الكمبيوتر المحمول الخاص بهم ، فيمكن للمحتال الحصول على هوية الضحية.
في نظام التشغيل Windows ، يتم تنشيط WPAD عند تمكين خيار "اكتشاف الإعدادات تلقائيًا". يتم تمكين هذا الخيار افتراضيًا.وينطبق هذا على الحسابات على مجموعة متنوعة من الموارد ، ومن خلال الروابط المباشرة ، يمكن للمهاجم الوصول إلى الصور الشخصية للضحية ، بالإضافة إلى البيانات الأخرى. يمكن للمهاجمين أيضًا سرقة الرموز المميزة لبروتوكول OAuth الشهير ، والذي يسمح لك بتسجيل الدخول إلى مواقع مختلفة باستخدام حسابك على Facebook أو Google أو Twitter.أظهر المتخصصون قدرات الطريقة الجديدة على Defcon. باستخدام التكنولوجيا الخاصة بهم ، تمكن الخبراء من الوصول إلى صورة الضحية ، وتنسيق السجل ، وتذكيرات التقويم وبيانات الملف الشخصي لحساب Google ، بالإضافة إلى الوصول إلى جميع مستندات الضحية على Google Drive. تجدر الإشارة هنا إلى أن الهجوم لا يؤثر على تشفير HTTPS ، ولا تزال البيانات محمية. ولكن إذا تم تضمين WPAD في نظام التشغيل ، فإن HTTPS يكون أقل فعالية من حيث حماية بيانات المستخدم الخاصة. وهذا ينطبق أيضًا على معلومات هؤلاء المستخدمين الذين يعملون مع VPN. يسمح لك WPAD أيضًا بالوصول إلى هذه البيانات., VPN-, OpenVPN, , WPAD. , , , VPN, - . , .
WPAD, . , , . OS X, iOS, Apple TV, Android, Google Chrome. Microsoft Mozilla .
?
— WPAD. PAC - ,
WPAD URL .
— , WPAD. Black Hat. Verisign , WPAD- , . WPAD .global, .ads, .group, .network, .dev, .office, .prod, .hsbc, .win, .world, .wan, .sap, and .site.
, , , , . , , «» PAC- , , WPAD .