نوشته‌ها

ویدئو آموزش تست امنیت سایت (سایت شماره ۵)

سلام خدمت شما

با پنجمین ویدئو آموزشی تست امنیت سایت در خدمت شما بزرگواران هستم.

در مجموعه‌ی “تست امنیت سایت” سعی داریم، سایت‌هایی را بررسی کنیم که مراحل تست نفوذ آنها دارای نکات کوچک و بزرگی است که یادگیری این نکات سبب افزایش مهارت شما در بحث تست نفوذ می‌شود.

وب‌سایتی که امروز برای شما دوستان عزیز آماده کردم نکات بسیار جالبی داره که یادگیری این نکات، در انجام پروژه‌های تست نفوذ به شما کمک خواهد کرد.

این وب‌سایت را در بخش شماره ۳ از همین مجموعه مورد بررسی قرار دادیم اما اینبار قصد داریم به روش دیگری تست نفوذ را انجام و waf را بایپس کنیم.

سایت مورد بررسی : http://www.demuth.com.br

سایت مربوط به کشور برزیل می‌باشد

با تشکر از جناب کارگرنژاد عزیز از دانشجویان خوب کلوپ امنیت

این ویدئو آموزشی رو از دست ندید

 

 
 

ویدئو آموزش تست امنیت سایت (سایت شماره ۲)

سلام خدمت شما

با اولین ویدئو آموزشی تست امنیت روی سایت در خدمت شما بزرگواران هستم.

امروز تصمیم گرفتن مجموعه‌ای با عنوان تست امنیت سایت رو در وب‌سایت شخصی خودم منتشر کنم که در این مجموعه سعی داریم، سایت‌هایی را بررسی کنیم که مراحل تست نفوذ آنها دارای نکات کوچک و بزرگی است که یادگیری این نکات سبب افزایش مهارت شما در بحث تست نفوذ می‌شود.

سایت مورد بررسی : https://www.fatfatiya.in

این ویدئو آموزشی رو از دست ندید

 

ویدئو آموزش تست امنیت سایت (سایت شماره ۱)

سلام خدمت شما

با اولین ویدئو آموزشی تست امنیت روی سایت در خدمت شما بزرگواران هستم.

امروز تصمیم گرفتن مجموعه‌ای با عنوان تست امنیت سایت رو در وب‌سایت شخصی خودم منتشر کنم که در این مجموعه سعی داریم، سایت‌هایی را بررسی کنیم که مراحل تست نفوذ آنها دارای نکات کوچک و بزرگی است که یادگیری این نکات سبب افزایش مهارت شما در بحث تست نفوذ می‌شود.

سایت مورد بررسی : https://www.masenangtravel.com.my

این ویدئو آموزشی رو از دست ندید

User Enumeration چیست؟

سلام خدمت شما

شمارش کاربر یا User Enumeration زمانی اتفاق می‌افتد که نفوذگر در تلاش است با استفاده از حملات Brute-force کاربران معتبر در سیستم را حدس بزند.این مورد معمولا در صفحه ورود و فراموش پسورد اتفاق می‌اُفتد.

در این روش نفوذگر به دنبال بررسی کردن تفاوت پاسخی است که سرور در مقابل درخواست او می‌دهد.

زمانی که نفوذگر نام‌کاربری و رمز ورود نامعتبری را وارد می‌کند، سرور پاسخی را ارسال می‌کند و می‌گوید که کاربر rapid7 وجود ندارد.نفوذگر باهوش متوجه می‌شود که مشکل رمز عبور نیست، بلکه این نام کاربری است که در سیستم وجود ندارد.(این مورد در تصویر زیر مشخص است)

User Enumeration چیست؟

از طرف دیگر اگر نفوذگر یک نام کاربری معتبر را با یک رمز عبور نامعتبر وارد کند، سرور پاسخ دیگری را نشان می‌دهد و می‌گوید رمزعبور وارد شده برای نام کاربری فلان صحیح نیست، که این مشخص می‌کند که نام کاربری مورد تایید سرور است.(این مورد در تصویر زیر مشخص شده است)

User Enumeration چیست؟

پس نفوذگر متوجه می‎‌شود که سرور چگونه به ورودی معتبر و نامعتبر پاسخ می‌دهد.پس نفوذگر می‌تواند از نام‌های کاربری معمولی یا اسامی رایج و انواع حروف استفاده کند تا لیست معتبری از نام‌های کاربری را به دست بیاورد.

پس از کامل شدن این لیست نفوذگر می‌تواند دوباره همین مراحل رو تکرار کند، اما این بار برای به دست آوردن رمز عبور.

یک روش موثر برای جلوگیری از این مشکل این است که سرور یک پاسخ ثابت را برای هر دو حالت داشته باشد به این شکل که “نام کاربری یا رمز ورود نادرست است”.در این صورت نفوذگر نمی‌تواند استدلال کند که نام کاربری نادرست بوده یا خیر.(مانند تصویر زیر)

User Enumeration چیست؟

صفحه فراموشی رمز نیز می‌تواند در برابر این نوع حمله آسیب‌پذیر باشد.به طور معمول، هنگامی که یک کاربر رمز عبور خود را فراموش می‌کند، یک نام کاربری را در این قسمت وارد می کند و سیستم تنظیم مجدد رمز ورود، یک ایمیل برای ایجاد پسورد جدید ارسال می‌کند.

در این حالت یک سیستم آسیب‌پذیر مشخص می‌کند که آن نام کاربری در سیستم وجود دارد یا خیر.(مانند تصویر زیر)

User Enumeration چیست؟

برای رفع این مشکل نیز باید پاسخ ثابتی در سرور مشخص شود که به سادگی به کاربر بگوید که اگر نام کاربری معتبر باشد، سیستم یک ایمیل بازگردانی به آدرس وارد شده ارسال می‌کند.(این مورد در تصویر زیر مشخص شده است)

User Enumeration چیست؟

برای درک بهتر این مورد، یک ویدئو آموزشی را رکورد کردیم که می توانید در سایت‌های واقعی این مورد را به صورت عملی مشاهده کنید.

آشنایی با حمله Directory Traversal

آشنایی با حمله Directory Traversal

کنترل مناسب دسترسی به محتوای وب برای یک وب سرور امن بسیارسخت است. دایرکتوری تراورسال (Directory Traversal) یا Path Traversal یک حمله HTTP است که به مهاجمان امکان دسترسی به دایرکتوری‌های محدود شده و اجرای دستورات خارج از دایرکتوری ریشه وب سرور را می‌دهد.

سرورهای وب دو سطح اصلی مکانیسم‌های امنیتی را فراهم می‌کنند

  • Access Control Lists (ACLs)
  • Root directory

یک لیست کنترل دسترسی در فرایند مجوز استفاده می‌شود. این یک لیست است که مدیر وب سرور برای نشان دادن اینکه چه کاربران یا گروه‌هایی قادر به دسترسی، اصلاح یا اجرای برخی از فایل‌ها در سرور و همچنین سایر حقوق دسترسی هستند استفاده می‌کند. دایرکتوری ریشه یک دایرکتوری خاص در سیستم فایل (File System) سرور است که در آن کاربران محدود هستند. کاربران قادر به دسترسی به چیزی در بالای این ریشه نیستند.

به عنوان مثال: دایرکتوری ریشه پیش فرض IIS در ویندوز است C:\Inetpub\wwwroot و با این راه‌ اندازی، کاربر دسترسی به C:\Windows ندارد، اما به C:\Inetpub\wwwroot\news و هر دایرکتوری دیگر که زیر مجموعه دایرکتوری ریشه است،(با توجه به اینکه کاربر از طریق ACL تأیید اعتبار شود) دسترسی دارد.

دایرکتوری ریشه مانع دسترسی کاربران به هر گونه فایل در سرور مانند C:\WINDOWS\system32\win.ini در سیستم عامل ویندوز و فایل/etc/passwd  در سیستم عامل لینوکس / یونیکس می شود. این آسیب پذیری می تواند در نرم افزار وب سرور یا در کد برنامه وب وجود داشته باشد.

برای انجام یک حمله Directory Traversal، تمام چیزی که یک مهاجم نیاز دارد یک مرورگر وب است و دانش در این مورد که کجا به صورت کورکورانه فایل‌ها و دایرکتوری‌های پیش فرض در سیستم را پیدا می کند.

اگر وب سایت شما آسیب پذیر باشد، یک مهاجم چه کاری می تواند انجام دهد؟

با یک سیستم آسیب‌پذیر دایرکتوری تراورسال (Directory Traversal)، مهاجم می‌تواند از این آسیب‌پذیری برای از بین بردن دایرکتوری ریشه و دسترسی به بخش‌های دیگر فایل سیستم استفاده کند. این ممکن است مهاجم را قادر به مشاهده فایل‌های محدود شده کند، که می تواند بستری باشد برای به دست آوردن اطلاعات بیشتر مورد نیاز جهت به خطر انداختن بیشتر سیستم.

بسته به اینکه دسترسی به وب‌سایت چگونه تنظیم شده است، مهاجم دستورات خود را با استفاده از جعل هویت خود به عنوان کاربری که با “وب سایت” مرتبط است، اجرا می‌کند. بنابراین همه چیز به اینکه به کاربر وبسایت چه دسترسی در سیستم داده شده، دارد.

مثال حمله دایرکتوری تراورسال (Directory Traversal) از طریق کد برنامه وب

در برنامه های وب با صفحات پویا (Dynamic Page)، ورودی‌ها معمولا درمرورگرها از طریق روش‌های درخواستی GET یا POST دریافت می‌شود. در اینجا یک مثال از URL درخواست HTTP GET را می‌توانید ببینید.

GET http://test.webarticles.com/show.asp?view=oldarchive.html HTTP/1.1

Host: test.webarticles.com

با استفاده از این URL، مرورگر صفحه پویا show.asp را از سرور درخواست میکند و به همراه این نیز پارامتر دیدن با مقدار oldarchive.htm را ارسال میکند. هنگامی که این درخواست در وب سرور اجرا می‌شود، show.asp فایل oldarchive.html را از فایل سیستم سرور بازیابی می‌کند، آن را ارائه می‌دهد و سپس به مرورگر ارسال می‌کند که به کاربر نمایش می‌دهد. مهاجم فرض می کند که show.asp می تواند فایل‌ها را از فایل سیستم بازیابی کند و URL سفارشی زیر را ارسال می‌کند.

GET http://test.webarticles.com/show.asp?view=../../../../../Windows/system.ini HTTP/1.1Host: test.webarticles.com

این باعث می شود صفحه دینامیکی فایل system.ini را از فایل سیستم بازیابی کند و آن را به کاربر نمایش دهد. عبارت ../ دستور می دهد که سیستم یک پوشه رابه عقب برگردد که به طور معمول به عنوان یک دستورالعمل سیستم عامل مورد استفاده قرار می‌گیرد. مهاجم میبایست حدس بزند که چندین دایرکتوری که او باید برای یافتن پوشه ویندوز در سیستم پیدا کند، اما این به راحتی با آزمون و خطا انجام می‌شود.

مثال یک حمله مسیریابی دایرکتوری (Directory Traversal) از طریق وب سرور

جدا از آسیب‌پذیری در کد، حتی خود وب سرور می تواند به حملات دایرکتوری تراورسال (Directory Traversal) باز باشد. این مشکل می‌تواند در نرم افزار وب سرور و یا در داخل برخی از فایل های اسکریپت نمونه موجود در سرور موجود باشد.

آسیب‌پذیری در آخرین نسخه‌های نرم افزار وب سرور ثابت شده است، اما سرورهای وب آنلاین وجود دارد که هنوز هم از نسخه های قدیمی IIS و Apache استفاده می‌کنند که ممکن است برای حملات مسیریابی پوشه‌ای باز باشد. حتی اگر شما از یک نسخه نرم افزار وب سرور استفاده کنید که این آسیب‌پذیری را رفع کرده باشد، ممکن است هنوز دایرکتوری‌های حساس اسکریپت‌های پیش فرض در معرض آن قرار داشته باشید که برای هکرها نیز شناخته شده است.

به عنوان مثال، یک درخواست URL که استفاده از دایرکتوری اسکریپت های IIS را برای گذر از دایرکتوری ها و اجرای دستور، می تواند به صورت زیر باشد:

GET http://server.com/scripts/..%5c../Windows/System32/cmd.exe?/c+dir+c:\ HTTP/1.1Host: server.com

این درخواست یک لیست کامل از تمام فایل ها در C:\directory با استفاده از اجرای دستور shell file دستور cmd.exe را و اجرای  دستور dir c:\ را در shell نمایش می‌دهد. عبارت %۵c که در درخواست URL است، یک کد فرار (Escape Code) وب است که برای نمایش کاراکترهای عادی استفاده می شود. در این مورد%۵c  نشان دهنده شخصیت \ است.

نسخه های جدیدتر از نرم افزار وب سرور مدرن این کدهای فرار را بررسی و اجازه ورود آن ها را  نمی دهند. اما برخی از نسخه های قدیمی تر این کدها را در پوشه ریشه دایرکتوری فیلتر نمیکنند و اجازه می دهند مهاجمان چنین دستوراتی را اجرا کنند.

چگونگی بررسی آسیب پذیری دایرکتوری تراورسال (Directory Traversal)

بهترین راه برای بررسی اینکه آیا وب سایت و برنامه‌های وب شما به دایرکتوری تراورسال (Directory Traversal) آسیب پذیر هستند، استفاده از اسکنر آسیب‌پذیری وب است. اسکنر آسیب پذیری وب تمام وب سایت شما را بررسی (Crawl) می کند و به طور خودکار آسیب پذیری های دایرکتوری تراورسال (Directory Traversal) را بررسی کرده و به همراه نحوه رفع آسان آن گزارش می دهد.

جلوگیری از حمله دایرکتوری تراورسال Directory Traversal

اول از همه اطمینان حاصل کنید که آخرین نسخه نرم افزار وب سرور خود را نصب کرده اید و اطمینان حاصل کنید که تمام وصله ها (Patch) اعمال شده اند.

در مرحله دوم، به طور موثر هر ورودی کاربر فیلتر می‌شود. در حالت ایده آل همه چیز را حذف کنید به جز داده‌های شناخته شده و  همچنین متاکاراکتر را در ورودی کاربرفیلتر کنید. با این کار اطمینان حاصل خواهد شد که تنها چیزی که باید به سرور ارسال شود در فیلد وارد می شود.

اسرائیل،دومین صادرکننده فناوری سایبری در جهان

شرکت‌های اسرائیلی در جهان، رتبه دوم را در میان ۱۵۰ شرکت امنیت سایبری برتر در اختیار دارند.

اسرائیل،دومین صادرکننده فناوری سایبری در جهان

مجله پیشرو «Cybersecurity Ventures»، در زمینه امنیت سایبری اینترنتی، رتبه دوم را به شرکت‌های اسرائیلی – با ۱۸ شرکت در اراضی اشغالی – اختصاص داد؛ در این لیست ایالات متحده با ۱۱۲ شرکت در رتبه نخست قرار دارد.

اگرچه، به گفته مجله مذکور، از بین ۳۸ شرکت بین‌المللی موجود در فهرست، تقریباً نیمی از آنها در اراضی اشغالی شروع به کار کرده‌اند و درنتیجه اسرائیل دومین صادرکننده فناوری سایبری جهان محسوب می‌شود.

به گفته کارشناسان غربی، بخش امنیت سایبری اسرائیل در سال‌های اخیر در بخش‌های دولتی و عمومی با هدف مصون نگه داشتن شهروندان در برابر حملات سایبری بسیار موفق بوده است.

رژیم صهیونیستی از شرکت‌های امنیت سایبری به شیوه‌های مختلف از جمله راهنمایی در مورد چالش‌های آتی در این زمینه پشتیبانی می‌کند.

ییگال اونا (Yigal Unna)، مدیرکل اداره سایبری ملی اسرائیل (INCD) در نشسته فناوری‌های پیشرفته «NexTech» در بئرشبع گفت:

هوش مصنوعی، قوانین بازی را تغییر داده است. فناوری جدید، میزان تهدیدهای جدید و سرعت مورد نیاز برای رفع آنها را افزایش می‌دهد. این امر شامل مقابله با افزایش سرعت حمله، تغییر قابلیت‌های تهاجمی مانند اتوماسیون و قلمروهای مختلف جدید نیازمند به امنیت سایبری است.

اونا هشدار داد كه هوش مصنوعی به عنوان ابزاری مفید برای هكرها به آنها اجازه دور زدن حفاظت سایبری را می‌دهد. با این وجود، این فناوری از سوی شرکت‌های امنیت سایبری برای تقویت حفاظت از خود با شناسایی سریع‌تر آسیب‌پذیری‌ها مورد استفاده قرار می‌گیرد.

اسرائیل به عنوان یک رهبر جهانی در زمینه امنیت سایبری شناخته شده است و تقریباً ۲۵ درصد کل سرمایه‌گذاری‌های جهانی در این حوزه در اراضی اشغالی انجام می‌شوند.

براساس گزارش منتشر شده شرکت داده «CB Insights» در نیویورک در ماه آوریل ۲۰۱۸، اسرائیل پس از آمریکا بیشترین معاملات سایبری در سطح بین‌المللی را امضا کرده است.

رژیم صهیونیستی پروتکل‌های امنیتی پیشرفته‌ای را تدوین کرده است؛ زیرا حملات سایبری روی این دولت در چند سال گذشته بصورت تصاعدی افزایش یافته و روزانه ۲ میلیون حمله روی زیرساخت‌های مهم صورت می‌گیرند.

مشارکت و همکاری میان ارتش، دولت، آموزش و پرورش و بخش‌های خصوصی باعث ظهور اسرائیل به عنوان یکی از رهبران امنیت سایبری در جهان شده است؛ این همکاری شاید کمتر در جهان غرب مشاهده می‌شود.

آسیب پذیری استاندارد جایگزین پیام کوتاه

کارشناسان امنیتی چندین آسیب‌پذیری حیاتی را در استاندارد جدیدی که قرار است جایگزین خدمات پیام کوتاه شود شناسایی کردند.

آسیب پذیری استاندارد جایگزین پیام کوتاه

شرکت گوگل مدتی قبل اعلام کرده بود که در آینده نزدیک استاندارد «خدمات ارتباطات غنی» (RCS) جایگزین «خدمات پیام کوتاه» (SMS) می‌شود.

این پروتکل اولین بار در سال ۲۰۰۷ معرفی شد و به رسمیت شناختن آن تا ۲۰۱۸ به طول انجامید.

گوگل قصد دارد به زودی از این استاندارد در اندروید استفاده کند. این استاندارد امکان ایجاد گروه‌های چت، ارسال تصاویر و صوت با کیفیت بالا را فراهم می‌کند.

به علاوه همه ویژگی‌های پیام‌رسان‌هایی مانند واتس‌اپ و آی‌مسیج را نیز ارائه می‌دهد.

محققان شرکت «اس‌لبز» (SLabs) به تازگی گزارشی منتشر کردند که نشان از آسیب‌پذیری این استاندارد جدید دارد.

این نقص کاربران را در معرض حملات بر پایه متن (text-based attacks)، استراق سمع، ردیابی موقعیت مکانی و چندین نوع دیگر قرار می‌دهد.

از آنجایی که یک استاندارد واحد وجود ندارد شرکت‌های مخابراتی ممکن است به شیوه‌های مختلفی از آن بهره ببرند و در این فرایند اشتباهاتی رخ بدهد.

محققان در زمان بررسی استاندارد یاد شده، سیم‌کارت‌های اپراتورها مختلف را مورد استفاده قرار داده و تلاش کردند تا دامنه‌های مرتبط با خدمات ارتباطات غنی و آسیب‌پذیری‌های هر یک را شناسایی کنند.

آن‌ها متوجه شدند که در شیوه ارسال پیکربندی فایل‌های RCS به ابزارها توسط شرکت‌های مختلف مشکلاتی وجود دارد.

برای نمونه در یک مورد، سرور با شناسایی آدرس‌های IP اطلاعات پیکربندی را ارائه می‌داد.

هر برنامه‌ای چه با مجوز، چه بدون آن، می‌تواند درخواست فایل مذکور را ارسال کند، چون همه‌ی آن‌ها از آدرس IP بهره می‌برند.

در نتیجه همه آن‌ها امکان دستیابی به نام کاربری، رمز عبور، پیام‌های متنی و صوتی کاربران را خواهند داشت.

پژوهشگران همچنین در فرایند احراز هویت نیز نقصی را شناسایی کرده‌اند. برای مثال زمانی که یک اپراتور کد شناسایی منحصربه‌فردی را برای کاربر RCS ارسال می‌کند.

این مسئله به وجود می‌آید. از آنجایی اپراتورها امکان تلاش‌های نامحدود را فراهم می‌آورند. یک مهاجم می‌تواند با اقدامات بدون پایان خود در نهایت سیستم احراز هویت را دور بزند.

محققان قصد دارند جزئیات یافته‌های خود را در اجلاس بلک هت اروپا (Black Hat) به اشتراک بگذارند.

انتقال آسیب پذیری واتساپ به اپلیکیشن های google play

شرکت امنیت سایبری ترند میکرو (Trend Micro) اعلام کرد شکاف امنیتی پیشین واتساپ در اپلیکیش‌های Google Play مشاهده شده است.

انتقال آسیب پذیری واتساپ به اپلیکیشن های google play

محققان شرکت سیمنتک در اکتبر سال ۲۰۱۹ یک آسیب‌پذیری با شناسه‌ی CVE-2019-11932 در پیام‌رسان واتساپ (WhatsApp) را شناسایی کردند که این امکان را به هکرها می‌داد فیلم‌ها، عکس‌ها و پیام‌های صوتی را مشاهده و دست‌کاری کنند.

این نقص، در نسخه‌ی ۲٫۱۹٫۲۳۰ واتساپ در دستگاه‌های اندروید ۸٫۱ و ۹٫۰ اجازه‌ی اجرای کد از راه دور را می‌داد و در نسخه‌های قبلی فقط می‌توانست برای حملات انکار سرویس (DoS) استفاده گردد.

آسیب‌پذیری شناسایی‌شده، در یک کتابخانه‌ی منبع باز به نام «libpl_droidsonroids_gif.so» قرار داشت که توسط واتساپ برای تولید پیش‌نمایش پرونده‌های GIF استفاده می‌شد. زمانی که فیس بوک از این اشکال مطلع گردید وصله‌‌ای رسمی را در نسخه‌ی واتساپ ۲٫۱۹٫۲۴۴ منتشر نمود و به کاربران توصیه کرد واتساپ خود را به‌روزرسانی کنند تا از این اشکال در امان بمانند.

اکنون کارشناسان شرکت ترند میکرو اعلام کرده‌اند آسیب‌پذیری ۲٫۱۹٫۲۴۴ اصلاح‌شده در پیام‌رسان واتساپ در بسیاری از اپلیکیش‌ها همچنان پابرجاست.

به گفته کارشناسان این شرکت، در فروشگاه Google Play، بیش از ۳۰۰۰ برنامه که از libpl_droidsonroids_gif.so استفاده می‌کنند، همچنان آسیب‌پذیر هستند و بسیاری از اپلیکیش‌های فروشگاه‌های دیگر من‌جمله ۱mobile ،۹Apps ،۹۱ market ،APKPure ،Aptoide ،۳۶۰ Market، PP Assistant ،QQ Market ،Xiaomi Market این آسیب پذیری را در خود دارند.

اطلاعات صدها کاربر فیس بوک و توییتر لو رفت

فیس‌بوک و توییتر اعلام کردند که احتمالا اطلاعات صدها نفر از کاربرانی که وارد فروشگاه آنلاین گوگل پلی استور شده‌اند، افشا شده است.

اطلاعات صدها کاربر فیس بوک و توییتر لو رفت

بر اساس گزارش وب سایت the verge، محققان و کارشناسان فعال در حوزه امنیت سایبری که این شرکت‌های تکنولوژی بزرگ را از وجود آسیب‌پذیری‌های جدید موجود در فروشگاه آنلاین و اینترنتی گوگل پلی استور مطلع و باخبر کرده اند، کشف و اعلام کرده اند که به واسطه این حفره امنیتی، توسعه دهندگان خارجی به داده ها و اطلاعات شخصی بسیاری از کاربران گوشی‌های اندرویدی که وارد حساب کاربری خود در فروشگاه آنلاین و اینترنتی گوگل پلی استور شده‌اند، دسترسی پیدا کرده و معلوم نیست از آنها برای چه اهداف و انگیزه‌هایی استفاده کنند.

این گزارش که نخستین بار توسط شبکه CNBC مطرح و رسانه ای شد، باری دیگر فیس بوک و توییتر، به عنوان بزرگترین شبکه‌های اجتماعی در جهان، را در تیررس شمشیر تیز و برنده منتقدان قرار داد و موجب شد امنیت آنها به خصوص فیس بوک برای چندمین بار زیر سوال برود.

هنوز هیچ نشانه ای دال بر اینکه کاربران گوشی های آیفون و سیستم های مبتنی بر iOS نیز به چنین مشکلی دچار شده اند، کشف و اعلام نشده است.

این آسیب پذیری که به نظر می رسد One Audience نام دارد، به توسعه دهندگان خارجی اجازه دسترسی به اطلاعات شخصی کاربران همچون آدرس پست الکترونیک (ایمیل) و نام کاربری آنها را می دهد.

البته به گفته شبکه cNBC، برخی دیگر از اپلیکیشن‌های حوزه عکاسی موجود در پلی استور همچون Photofy و Giant Square نیز با این مشکل امنیتی مواجه شده اند.

سخنگوی فیس بوک در این خصوص به گزارشگر وب سایت the verge گفت: ما سعی داریم علاوه بر رفع کردن هرچه سریعتر این مشکل امنیتی، به آن دسته از کاربرانی که احتمال می‌دهیم اطلاعاتشان در دسترس توسعه دهندگان قرار گرفته باشد، اطلاع دهیم تا هرچه زودتر نام کاربری و گذرواژه حساب خود در پلی استور و همچنین ایمیل شان را تغییر دهند./ایسنا

صاحبان خودروهای هوشمند مراقب باشند

صاحبان خودروهای هوشمند مراقب باشند

بسیاری از کارشناسان فعال در حوزه امنیت سایبری هشدار داده اند خودروهای هوشمند سازی پذیری بالایی در برابر نفوذ هکرها و مجرمان سایبری دارند.(صاحبان خودروهای هوشمند مراقب باشند)

صاحبان خودروهای هوشمند مراقب باشند

در سال های اخیر صنعت خودروسازی با همکاری غول‌های تکنولوژی در جهان فناوری و سیستم های هوشمند جدیدی را به خودروهای تولید شده خود معرفی و عرضه کرده‌اند تا بتوانند نظر و رضایت مشتریان و رانندگان را جلب کرده و به این ترتیب سهم خود را در بازارهای جهانی افزایش دهند.

حالا به تازگی کارشناسان فعال در حوزه امنیت سایبری با بررسی و تحقیقات جدید خود دریافت و هشدار دادند که نرم افزار و سخت افزارهای موجود در خودروهای مدرن و هوشمند آسیب پذیری بسیار بالایی در برابر نفوذ هکرها و مجرمان سایبری دارند که به خاطر سهل انگاری خودروسازان است چراکه آنها خطر نفوذ هکرها از طریق سیستم های هوشمند خودرو و احتمال سرقت آن را دست کم گرفته‌اند.

آنها در ادامه گزارش خود خاطر نشان کردند هکرها با تهیه ابزارهای هک به سادگی قادر خواهند بود ایموبلایزرهای خودرو را قطع کرده و و خودرو را به سرقت ببرند.

انتشار گزارش‌های این چنینی وظیفه و مسئولیت خودروسازان را چندین برابر بیشتر خواهد کرد تا به فکر ارائه سیستم‌های هوشمند با امنیت بسیار بالاتر افتاده و پروتکل‌های امنیتی بهتر و جدیدتری را برای خودروهای تولید شده خود اتخاذ کنند.