قدّم فريق بحثي متخصص من معهد أمن المعلومات بجامعة شتوتغارت الألمانية حلاً أمنياً رائدًا يستهدف التصدي لهجوم إلكتروني حديث ومتطور، ما يُشكل تهديدًا للبروتوكولات المسؤولة عن عمليات تسجيل الدخول والتحقق من الهوية في مجالات حيوية تشمل الرعاية الصحية والتأمين والخدمات المصرفية.
يرأس هذا الفريق كل من البروفيسور رالف كوسترز، والدكتور تيم وورتيل، والباحث بيدرام حسيني، الذين يشاركون نتائج جهودهم خلال مؤتمر الأمن والخصوصية SP2026 المزمع عقده في سان فرانسيسكو، ما يعكس الأهمية العالمية للإنجاز.
تُظهر الدراسة الجديدة أن الهجوم لا يهاجم الأجهزة أو المواقع الإلكترونية بصورة مباشرة، بل يستهدف جوهر البروتوكولات التي تنظم تبادل الرسائل الرقمية بأمان، حيث تم التعرف على هذه الفجوة التي أُطلق عليها اسم “هجوم حقن الجمهور”؛ إذ يتمكن المهاجم من إدخال تعديل خبيث داخل وثيقة الهوية الموقعة بين طرفين، مما يؤدي إلى انتحال شخصية المرسل أمام المستقبل وتجاوز أنظمة التحقق بدقة عالية.
تم الكشف عن هذه الثغرة أثناء تدقيق أمني في بروتوكول “OpenID Federation”، ومع تحليل معمق باستخدام نماذج رياضية متقدمة طورها الباحثون، ثبت أن الخلل يمتد إلى بروتوكولات عالمية واسعة الاستخدام، مثل “OpenID Connect” الذي تعتمد عليه شركات كبرى كغوغل وآبل ومايكروسوفت، إضافة لعائلة بروتوكولات “FAPI 2.0” التي تؤمن مئات الملايين من الحسابات الحساسة بما فيها بيانات المنصات الصحية الوطنية والنظم المالية الكبرى.
على إثر الاكتشاف، تحرك فريق جامعة شتوتغارت سريعًا لإبلاغ الجهات المعنية والشركات المطوّرة بشكل سري، بهدف تصحيح الثغرة قبل الإعلان عنها بشكل رسمي. وقد توصلوا إلى صياغة معايير جديدة تعتمد على تثبيت قيمة “الجمهور” الدقيقة داخل وثيقة الهوية الرقمية باستخدام عنوان IP الخاص بالمستلم الذي لا يمكن التلاعب به، مما يغلق الباب أمام الهجمات المشابهة.
تخطط الجامعة لتعزيز هذا الجهد عبر أتمتة التحليلات الرياضية المعقدة باستخدام الحوسبة، مما يسرع من اختبار البروتوكولات الأمنية في مراحل تطويرها الأساسية، بدلاً من مراجعتها بعد انتشارها، بهدف تقليل تكلفة التحديثات المستقبلية. وهذا النهج يُطبق حالياً بالتعاون مع مؤسسة OpenID لتأمين البروتوكولات التي تُعد الأساس لمحفظة الهوية الرقمية المرتقبة للاتحاد الأوروبي.