تسببت بعض المجالات domains المملوكة لشركة Google في جعل مستخدمي Chrome، بدءًا من أمهر الباحثين وحتى المستخدمين العاديين ، يتساءلون عما إذا كانوا ضارين.
المجالات التي أشير إليها هي النطاقات الفرعية redirector.gvt1.com و gvt1 / gvt2 التي تسببت في العديد من الأسئلة على الإنترنت.
ما هي نطاقات gvt1.com المشبوهة؟
النطاقات * .gvt1.com و * .gvt2.com، جنبًا إلى جنب مع نطاقاتهما الفرعية، مملوكة لشركة Google وتستخدم عادةً لتقديم تحديثات برامج Chrome والإضافات والمحتوى ذي الصلة.
على سبيل المثال، عندما بدأنا Chrome الآن، حاول الاتصال بالمجالات التالية:
المجالات التي أشير إليها هي النطاقات الفرعية redirector.gvt1.com و gvt1 / gvt2 التي تسببت في العديد من الأسئلة على الإنترنت.
ما هي نطاقات gvt1.com المشبوهة؟
النطاقات * .gvt1.com و * .gvt2.com، جنبًا إلى جنب مع نطاقاتهما الفرعية، مملوكة لشركة Google وتستخدم عادةً لتقديم تحديثات برامج Chrome والإضافات والمحتوى ذي الصلة.
على سبيل المثال، عندما بدأنا Chrome الآن، حاول الاتصال بالمجالات التالية:
http://redirector.gvt1.com/
http://r5---sn-8xgp1vo-ab5z.gvt1.com/ومع ذلك، تسببت عناوين URL هذه واسم المجال مرارًا وتكرارًا في حدوث ارتباك بين المطورين والباحثين بسبب هيكلها المشبوه:
وبالمثل، تم تحديد مجالات gvt.1com مسبقًا بواسطة منتجات مكافحة الفيروسات على أنها برامج ضارة [1، 2] ومن قبل الباحثين كمؤشر للاختراق (IOC) [1, 2, 3].
علاوة على ذلك، فإن روابط redirector.gvt1.com تعيد التوجيه إلى عنوان URL يحتوي على عنوان IP الخاص بالمستخدم، من بين معلمات مراوغة أخرى قد تسبب مزيدًا من الشك.
على سبيل المثال، تتبع BleepingComputer الرابط التالي، والذي يعيد التوجيه مرتين إلى عناوين URL أكبر بكثير ذات نطاق فرعي عشوائي ومعلمات GET واسعة النطاق، مثل عنوان IP الخاص بالمستخدم:
علاوة على ذلك، فإن روابط redirector.gvt1.com تعيد التوجيه إلى عنوان URL يحتوي على عنوان IP الخاص بالمستخدم، من بين معلمات مراوغة أخرى قد تسبب مزيدًا من الشك.
على سبيل المثال، تتبع BleepingComputer الرابط التالي، والذي يعيد التوجيه مرتين إلى عناوين URL أكبر بكثير ذات نطاق فرعي عشوائي ومعلمات GET واسعة النطاق، مثل عنوان IP الخاص بالمستخدم:
http://redirector.gvt1.com/edgedl/chromewebstore/L2Nocm9tZV9leHRlbnNpb24vYmxvYnMvNmRlQUFXU0o1UkNFTWx3aGRUUHBsWUJUZw/7819.902.0.1_pkedcjkdefgpdelpbcmbmeomcjbeemfm.crx
هل يجب أن نقلق بشأن عناوين URL الخاصة بموقع gvt1.com؟
هذا هو المكان الذي يصبح فيه الأمر معقدًا، ولكن الإجابة هي: لا، ولكن يمكن لـ Google تأمينها بشكل أفضل.
يرمز GVT في مجال gvt1.com إلى Google Video Transcoding، ويستخدم كخادم ذاكرة تخزين مؤقت للمحتوى والتنزيلات التي تستخدمها خدمات وتطبيقات Google.
ببساطة، يتم استخدام نطاقات * .gvt1.com بواسطة Google فقط لتقديم المحتوى الرسمي وتحديثات متصفح Chrome والملفات التنفيذية ذات الصلة بنظام Android.
"redirector.gvt1.com هي خدمة إعادة توجيه تستخدمها Google لمجموعة متنوعة من الأغراض، بما في ذلك تنزيل التحديثات وما إلى ذلك"، كما صرح Eric Lawrence، وهو عضو سابق في فريق أمان Chrome، في منشور خطأ Google.
بالعودة إلى الرابط الذي تم تحليله في القسم السابق كمثال، يمكننا أن نرى عنوان URL المنتهي بـ .crx يمثل امتداد Chrome:
هذا هو المكان الذي يصبح فيه الأمر معقدًا، ولكن الإجابة هي: لا، ولكن يمكن لـ Google تأمينها بشكل أفضل.
يرمز GVT في مجال gvt1.com إلى Google Video Transcoding، ويستخدم كخادم ذاكرة تخزين مؤقت للمحتوى والتنزيلات التي تستخدمها خدمات وتطبيقات Google.
ببساطة، يتم استخدام نطاقات * .gvt1.com بواسطة Google فقط لتقديم المحتوى الرسمي وتحديثات متصفح Chrome والملفات التنفيذية ذات الصلة بنظام Android.
"redirector.gvt1.com هي خدمة إعادة توجيه تستخدمها Google لمجموعة متنوعة من الأغراض، بما في ذلك تنزيل التحديثات وما إلى ذلك"، كما صرح Eric Lawrence، وهو عضو سابق في فريق أمان Chrome، في منشور خطأ Google.
بالعودة إلى الرابط الذي تم تحليله في القسم السابق كمثال، يمكننا أن نرى عنوان URL المنتهي بـ .crx يمثل امتداد Chrome:
http://redirector.gvt1.com/edgedl/chromewebstore/L2Nocm9tZV9leHRlbnNpb24vYmxvYnMvNmRlQUFXU0o1UkNFTWx3aGRUUHBsWUJUZw/7819.902.0.1_pkedcjkdefgpdelpbcmbmeomcjbeemfm.crx
تتبع الكمبيوتر الامتداد ليكون امتداد Chrome Media Router، وهو مكون قديم كان يستخدمه Chromecast.
الأمر المثير للقلق هو أن Google تواصل استخدام بروتوكول HTTP غير الآمن بدلاً من HTTPS عند الاتصال بعناوين URL هذه.
الأمر المثير للقلق هو أن Google تواصل استخدام بروتوكول HTTP غير الآمن بدلاً من HTTPS عند الاتصال بعناوين URL هذه.
من خلال الاتصال بعناوين URL عبر HTTP، قد يكون من الممكن استخدام هجمات man-in-the-middle (MiTM) لتعديل التنزيلات بطريقة ما. إذا كان لديك برامج ضارة مثبتة تعترض حركة مرور HTTP، فلا داعي للقلق في هذه المرحلة.
في الختام، عند رؤية حركة المرور المتعلقة بنطاقات * .gvt1.com أو * .gvt2.com في شبكة شركتك، فهذا ليس سببًا للقلق ولكنه مجرد تنزيل شرعي لـ Chromium.
ومع ذلك، يجب على Google التبديل إلى استخدام HTTPS لمنع هجمات MiTM المحتملة، ويجب على المسؤولين الاستمرار في اتباع أفضل الممارسات مثل تحليل حركة المرور من عناوين URL.
في الختام، عند رؤية حركة المرور المتعلقة بنطاقات * .gvt1.com أو * .gvt2.com في شبكة شركتك، فهذا ليس سببًا للقلق ولكنه مجرد تنزيل شرعي لـ Chromium.
ومع ذلك، يجب على Google التبديل إلى استخدام HTTPS لمنع هجمات MiTM المحتملة، ويجب على المسؤولين الاستمرار في اتباع أفضل الممارسات مثل تحليل حركة المرور من عناوين URL.
