نوشته‌ها

Face ID روشی امن برای احراز هویت

جدیدترین روش احراز هویت بیومتریک اپل معرفی شده است. این روش که مبتنی بر تشخیص چهره است به عنوان مکانیسمی صحت اعتبار سنجی می باشد. نتایج نظرسنجی انجام شده توسط Secret Double Octopus نشان داد که از میان 522 کارمند شرکت های مختلف، 81 درصد از آن ها FaceID را قابل اعتماد می دانند و 91 درصد معتقدند که استفاده از این قابلیت آسان است. این نظرسنجی که بر روشهای احراز هویت و استفاده از رمز عبور متمرکز بود، نشان داد که 73 درصد از کارکنان مورد نظر می گویند که FaceID را به رمزهای عبور ترجیح می دهند. این روش که TouchID نام دارد و توسط اپل بر روی آیفون 6 و آیفون 7 قرار گرفته است، جایگزین مناسبی برای کلمات عبور است.

راز رافائلی، مدیر عامل شرکت Secret Double Octopus گفت: ما همچنین می خواستیم بدانیم چه افرادی از گزینه های تأیید هویت جدید یعنی به طور خاص Face ID، شگفت زده شده­اند. نتایج نشان می دهد که سازمان ها باید به طور جدی در مورد تاثیر فناوری Face ID در محیط امنیتی خود بیندیشند.”

این بررسی همچنین نگرانی های موجود در مورد استفاده از رمز عبور را نشان می دهد. این نظرسنجی نشان می دهد که بسیاری از کارکنان حتی مباحث پایه ای امنیتی را رعایت نمی کنند و خود و سازمان های خود را در معرض فعالیت های مخرب قرار می دهند. حدود یک چهارم (23٪) از کارکنان مورد بررسی از یادداشت های کاغذی برای یادآوری کلمه عبور خود استفاده می کنند. علاوه بر این، 14٪ رمز عبور خود را،  با همکاران یا افراد دیگر به اشتراک گذاشته اند؛ 21٪ از کارکنان کلمه عبورشان را، برای خدمات آنلاین غیر مرتبط با کارشان استفاده می کنند؛ و 5٪ کارکنان اعتراف می کنند که گذرواژه های مربوط به کار خود را به در صفحات وب جعلی وارد کرده اند.

مرجع

https://www.infosecurity-magazine.com/news/apple-faceid-confidence-runs-high/

برنامه‌های آیفون می‌توانند به دوربین‌ دسترسی پیدا کنند و به‌صورت مخفیانه عکس و فیلم بگیرند

در یک دوره زمانی امنیت دستگاه اپل در مقایسه با دستگاه‌های اندرویدی تضمین‌ شده بود. ولی امروزه انجمن امنیت فناوری اطلاعات شاهد افزایش سریع حملات سایبری به کاربران اپل و کشف نقص امنیتی در این دستگاه‌ها هستند.

اخیراً یکی از مهندسین گوگل به نام فلیکس کراس کشف کرد که هر برنامه متجاوز در iPhone می‌تواند از دوربین دستگاه برای جاسوسی مخفیانه استفاده کند. این برنامه‌ها می‌تواند با سوءاستفاده از موجوز های دستگاه به هر دو دوربین جلو و عقب دستگاه دسترسی پیداکرده و به اهداف خرابکارانه خود برسند.

برای اثبات این موضوع، فلیکس کراس یک برنامه جعلی را ایجاد کرد که هرچند ثانیه عکس کاربر را می‌گیرد و آن را در سایت آپلود می‌کند. همه اینها بدون اجازه یا آگاهی کاربر انجام می‌شود.

در آیفون، هنگامی‌که یک برنامه می‌خواهد به دوربین دسترسی داشته باشد، در طول فرایند راه‌اندازی برنامه، کاربر آ‌یفون باید اجازه دسترسی به دوربین گوشی را به برنامه بدهد و پس از پایان یافتن برنامه باید از طریق منو تنظیمات این مجوز لغو شود. بااین‌حال، فلیکس کراس کشف کرد که هنگامی‌که دسترسی اولیه به برنامه داده‌شد، هر زمان که بخواهد می‌تواند عکس بگیرد یا فیلم‌ها ضبط کند.

مسئله مهم در رابطه با گوشی‌های هوشمند ازجمله آیفون این است که هیچ نشانه‌ای وجود ندارد که کاربر بتواند متوجه بشود آیا دوربین گوشی در حال ضبط عکس‌ها یا فیلم است یا خیر؟

بااین‌حال، این‌یک نقص امنیتی نیست بلکه یک نقص سیستمی است. یافته‌ها فلیکس کراس نشان می‌دهد که سیستم ناقص است و یک تهدید امنیتی را برای کاربران آیفون ایجاد می‌کند.

فلیکس کراس پیشنهاد می‌دهد که اپل باید سیستمی را طراحی کند که هر زمان که دوربین آن توسط خود شخص یا یک برنامه شخص ثالث بدون اجازه دسترسی مورداستفاده قرار می‌گیرد به کاربر اطلاع دهد. مثلاً در رایانه‌های مک چراغ سبز کوچک کنار دوربین نشانگر استفاده از دوربین است. همچنین، کاربرانiPhone و Android باید از دانلود برنامه‌های غیرضروری در دستگاه‌های خود جلوگیری کنند تا احتمال حمله به حریم خصوصیشان کاهش یابد.

منبع:

https://www.hackread.com/iphone-apps-can-access-cameras-to-secretly-take-photos-and-record-videos/

هزاران اکانت ایفون تقلبی: عامل گسترش کلاهبرداری در شبکه های اجتماعی

کارشناسان امنیتی به کاربران در خصوص به دام افتادن در دام کلاهبرداران و محتوای مجرمانه، هشدار داده اند که به اکانت های تقلبی آیفون توجه کنند. این اکانتها با هدف کسب درآمد از گوشی های هوشمند تولیدی اخیر شرکت اپل طراحی شده اند.

ZeroFox مدعی شده است با کمک فیلترینگ هوشمند خود 532 اکانت جعلی را که اقدام به پخش لینکهای مجرمانه و دزدیدن و به اشتراک گذاری اطلاعات کاربران میکرده اند شناسایی کرده است.

روش دروکردن PII یکی از رایج ترین روش هاست که توسط هکرهای آشنا به روشهای هک کاربران، برای هک اکانتها و یا کلاهبرداری از کاربران استفاده میشود.

Zerofox بیان کرد که بسیاری از این سایتها زنجیره ی هدایت یکسانی دارند به این صورت که: ابتدا کاربر را به یک بلاگ هدایت میکنند، سپس کاربر را به یک نظرخواهی هدایت میکنند که در آن کاربر میبایست اطلاعات شخصی را وارد کند.

برای یک حمله کننده (attacker)، رسانه های اجتماعی میتواند مورد سوء استفاده قرار گیرد بصورتیکه شخص حمله کننده یک حساب مشابه برای کلاهبرداری ایجاد کند. به هرحال، متصل کردن اکانتها بهم، میتواند باعث شفافیت آنها و افزایش امنیت آنها دربرابر این حملات باشد.

باید هشدار داد که حیله­ای به نام “iPhone Fee” بمنظور گول زدن کاربر و تشویق آن به کلیک کردن برروی محتوای مجرمانه و آلوده استفاده می شود. کلاهبردار قصد ایجاد اکانت جعلی که نمایش دهنده برندهای معتبر است را دارد، که نتیجه آن جذب بسیاری فالور، لایک و به اشتراک گزاری است.

طبق اخبار Zerofox ایجاد اکانت جعلی محبوبیت زیادی پیدا کرده است، و میتواند برای انجام حملات و سایر انواع کلاهبرداری ها و یا حتی فروختن اطلاعات کاربر به جنایتکاران فضای مجازی بکار گرفته شود.

از کاربران اکانتهای شبکه های اجتماعی تقاضا می شود تا ورود به اکانتشان را به شناسایی دو مرحله ای یا ” two-factor authentication” تغییر دهند، همچنین از بروز بودن آنتی ویروس دستگاه های مورد استفاده اطمینان داشته باشند و نسبت به اکانتهای تایید نشده آگاه بوده و از دانلود فایل یا نرم افزار در شبکه های اجتماعی خودداری کنند.

منبع:

https://www.infosecurity-magazine.com/news/hundreds-of-fake-iphone-accounts

هکرها به راحتی می توانند از طریق باگ ها ،کنترل سیری، الکسا و دیگر دستیارهای صوتی را در دست گیرند

دستیارهای صوتی مانند سیری و الکسا به واسطه ی ضعف امنیتی جدیدی که توسط متخصصان امنیتی چین کشف شد، در مقابل هکرها آسیب پذیر هستند. این باگ، اساسا یک ضعف در طراحی است که نوع جدیدی از نفوذ به نام DolphinAttack را برای هکر ها میسر می کند و به هکر ها این اجازه را می دهد که بصورت پنهانی دستورات را به تلفن های هوشمند ارسال کنند تا سیری و الکسا را تحت کنترل خود در بیاورند .

محققان دانشگاه ژجیانگ می گویند که DolphinAttack اجازه می دهد تا هکرها دستورات خود را برای دستیار های صوتی که از فرکانس های فراصوت استفاده می کنند ، و برای انسان ها قابل شنیدن نیستند اما به وضوح قابل شنیدن در میکروفون دستگاه ها هستند ارسال کنند . این حمله به هکر ها اجازه می دهد کنترل دستیار های صوتی مانند سیری و الکسا را در دست بگیرند و کاربران را به وب سایت های مخرب هدایت کند.

به نظر می رسد آسیب پذیری این دستیار های صوتی شرکت های اپل، گوگل، آمازون، مایکروسافت، سامسونگ و هوآوی را تحت تاثیر قرار می دهد. محققان معتقدند که با استفاده از DolphinAttack،هکرها می توانند انواع مختلفی از دستورات را از “Hey Siri” گرفته تا تماس به شماره مد نظر در آیفون یا استفاده از سرویس آمازون اکو در الکسا برای رسیدن به Backdoor را استفاده کنند.

برای اثبات این حملات ، محققان دستورات را بصورت فرا صوت فرستادند که باعث فعال شدن یک تماس تصویری توسط siri  در آیفون شد سپس Google Now   را فعال کردند و از طریق آن گوشی را در حالت پرواز قرار دادند و سیستم ناوبری یک آئودی را دستکاری کردند.

مسافت این نوع حمله از 2 سانتیمتر تا حداکثر 175 سانتیمتر متغیر است. محققان در بیان کردند که که این فاصله در صورتی که تجهیزاتی تولید کننده صدا  آن را با سطوح فشار بیشتری تولید کنند و جهت گیری های صوتی بهتری را  با استفاده از دستورات کوتاه تر و قابل تشخیص ارائه دهند می تواند افزایش یابد.

چطور از این نوع حملات در امان بمانیم؟

با توجه به این که ماهیت تکنیک DolphinAttack به افرادی است که از دستیار صوتی استفاده می کنند، ساده ترین راه برای از جلوگیری از چنین حملاتی، عدم استفاده از سیری، الکسا یا دستیار گوگل و… است.

منبع:

http://www.ibtimes.co.uk/dolphinattack-hackers-could-easily-hijack-siri-alexa-other-voice-assistant-apps-exploiting-bug-1638350

مشکلی در iOS باعث می شود رمزهای عبور Apple IDها در معرض حملات فیشینگ قرار بگیرند

با توجه به یافته­های Felix Krause، یک توسعه دهنده نرم افزار تلفن همراه و بنیانگذار Fastlane، در iOS نقصی وجود دارد که به طور بالقوه برای امنیت رمز عبور کاربران خطرناک است. وی در پست وبلاگ خود توضیح داد که مجرمان سایبری می­توانند از کادر گفتگوی پاپ آپ برای انجام حملات فیشینگ استفاده کنند تا یک کاربر بدون تردید با ارائه رمز عبور ID Apple خود فریب بخورد. حملات فیشینگ برای گرفتن اطلاعات حساس مانند شماره کارت اعتباری یا رمز عبور یا اطلاعات خصوصی به وسیله سرقت اطلاعات ورود یا آلوده کردن دستگاه با نرم افزار مخرب انجام می­شود.

Krause بیان کرد که تنها یک روش برای تشخیص پاپ آپ جعلی از معتبر وجود دارد و این روش نیز فشار دادن دکمه Home است. هنگامی که این دکمه فشار داده می شود، کادر گفتگوی جعلی به طور خودکار همراه با برنامه­ای که روی آن ظاهر می­شود، بسته می­شود. به عنوان مثال، اگر کاربر در حال انجام یک بازی است و پاپ آپ جعلی ظاهر شد، با فشار دادن دکمه Home، هم بازی و هم پاپ آپ بسته خواهد شد.

هنگامی که دکمه Home فشار داده می­شود، یک پاپ آپ اصلی بسته نخواهد شد، زیرا بر یک فرآیند کاملاً متفاوت اجرا می شود. در حالی که پاپ آپ جعلی بر روی یک برنامه استاندارد اجرا می­شود.

در زیر نگاهی به مقایسه پاپ آپ معتبر و پاپ آپ جعلی انداختیم:

Krause معتقد است که روش 2FA (روش تایید هویت دو مرحله­ای) می تواند در بهبود امنیت دستگاه مفید باشد. اگر مجرمان سایبری یکی از دو کلمه عبور را بدست آورند، حمله نمی­تواند کامل انجام شود.

Krause اظهار داشت: “همیشه کادر گفتگو را ببندید و تنظیمات iCloud را به صورت دستی باز کنید و سپس رمز عبور خود را وارد کنید. نمایش یک گفتگو که درست مانند پاپ آپ سیستمی است، فوق العاده آسان است، هیچ سحر و جادو و یا کد مخفی درگیر نیست.”.

 

منبع:

https://www.hackread.com/ios-flaw-makes-apple-id-passwords-prone-to-phishing-attacks/

وب سایت Equifax کاربران را به ابزار های تبلیغاتی کلاهبردار هدایت میکند

یک محقق امنیتی اخیرا متوجه شده است سرویس Equifax کاربران را به وب سایت هایی که با استفاده از ابزار های تبلیغاتی سعی در کلاهبرداری دارند، هدایت میکند. Randy Abrams تحلیلگر امنیتی، زمانی که می خواست گزارش اعتباری خود را در وب سایت Equifax پیدا کند، به یک وب سایت پیشنهاد دهنده نصب فلش پلیر جعلی هدایت شد. Abrams معتقد است، Equifax کدهای مخرب را از وب سایت خود در روز چهارشنبه حذف کرده است.

تجزیه و تحلیل از حوزه های مرتبط با زنجیره ی مسیر یابی نشان می دهد که کلاهبرداران، کاربران را با توجه به مقصد نهایی ،نوع دستگاه و موقعیت جغرافیایی به سایت های مختلفی هدایت می کنند.

سایت های جعلی از قبیل به روز رسانی های جعلی آندروید و iOS، خدمات حق بیمه اس ام اس و دیگر سایت های مخرب در این روش دیده شده است. سرویس های امنیتی مختلف دامنه های مربوط به حمله را به عنوان مخرب تشخیص می دهند ولی به دلیل اینکه هیچ شواهدی در مورد تروجان های مخرب وجود ندارد امکان مقابله با ان را ندارند.

سخنگوی Equifax اعلام کرد: ما وضعیت به وجود امده را در وب سایت equifax.com گزارش داده ایم. تیم های فناوری اطلاعات و امنیت ما این موضوع را بررسی می کنند.

Equifax اخيرا به مشتريان اطلاع داده است که هکرها پس از بهره برداري از آسيب پذيري Apache Struts 2 به اطلاعات شخصی بیش از 140 میلیون نفر، از جمله صدها هزار نفر از شهروندان کانادایی و بریتانیایی دسترسی پیدا کرده اند.

بسیاری از نقایص امنیتی Cyfecax Equifax مربوط یه این واقعیت است که این شرکت مشتریان را به وب سایت های اشتباه و آسیب پذیر هدایت می کند. پس از بررسی وب سایت Equifax مشخص شد که این مشکل توسط کد فروشنده شخص ثالث ایجاد شده است.

منبع:

http://www.securityweek.com/hacked-equifax-website-redirects-users-adware-scams

آسیب پذیر بودن برنامه های موبایل برای معاملات بورس سهام

بر اساس تحقیقاتی که توسط IOActive انجام شده است، بیش از 20 برنامه معاملات بورس سهام شامل نقص­هایی هستند که می تواند کاربران را در معرض خطر قرار دهد و منجر به دزدیده شدن پول یا از دست رفتن اطلاعات شخصی شود.

آلجاندرو هرناندز، مشاور ارشد امنیت IOActive، نتایج آزمایش خود را از 21 مورد از محبوب ترین برنامه­های معاملات سهام موبایل ارائه کرد. این برنامه ها معاملاتی به ارزش بیلیون­ها دلار در سال را پردازش می کنند و میلیون ها نفر از مردم سراسر جهان از آن ها استفاده می­کنند.

در مجموع، هرناندز این افشاگری­ها را برای 13 شرکت کارگزاری خصوصی ارسال کرد ولی پاسخ دلگرم­کننده نبود: فقط دو شرکت گزارش­ها را تأیید کردند.

هرناندز کنترل­های امنیتی را آزمایش کرد و دریافت که تعدادی از این برنامه ها، کلمه عبور کاربر را در متن واضح نشان می دهد. بدون اینکه رمزنگاری فعال شود، تهدیدکننده­ای که قادر به دسترسی فیزیکی به یک دستگاه باشد، می­تواند یک حساب کاربری را خراب کند.

همچنین 62 درصد از برنامه­ها داده­های مالی مهم را به طور مستقیم برای ورود فایل­ها و سیستم­ها ارسال می­کنند. هرناندز دریافت که 67 درصد داده ها در حالت استراحت به صورت رمزگذاری نشده ذخیره می­شوند.

دو مورد از برنامه­ها، از یک کانال HTTP رمزنگاری نشده برای انتقال و دریافت داده­ی استفاده می­کنند درحالی که حتی کانال­های رمزنگاری شده امن نبودند. 13 مورد از 19 برنامه­ای که از HTTPS استفاده می­کنند، اعتبار سرور از راه دور را از طریق یک روش مانند تأیید گواهی، بررسی نکردند. این بدان معنی است که اگر یک تهدیدکننده بتواند یک گواهینامه SSL مخرب را نصب کند، این تهدیدکننده را در موقعیتی قرار می دهد که یک حمله man-in-the-middle را راه اندازی کند.

منبع: https://securityintelligence.com/news/mobile-stock-trading-apps-vulnerable-to-attack

poC تراشه هک Wi-Fi برای سوء استفاده از سیستم عامل ios آیفون اپل

آسیب پذیری امنیتی در IOS 10 وجود دارد که امکان سوء استفاده از wi-fi را ایجاد کرده است.

گال بنامیینی، یک محقق امنیتی با Google Project Zero، آسیب پذیری امنیتی (CVE-2017-11120) را در آی فون اپل و سایر دستگاه هایی که از تراشه های Wi-Fi شرکت Broadcom استفاده می کنند، کشف کرده است. این نقص، اجازه دسترسی به گوشی هوشمند را از راه دور از طریق Wi-Fi به مهاجم می دهد.

آسیب پذیری که اخیرا کشف شده است،نشان داده است که هکر ها می توانند از راه دور دستگاه شما را کنترل کنند ولی آنها نیاز به مک آدرس آی فون یا شناسه پورت شبکه دارند و از آنجا که به دست آوردن آدرس MAC یک دستگاه متصل آسان است، آسیب پذیری به عنوان یک تهدید جدی برای کاربران آیفون محسوب می شود.

Beniamini می گوید که این نقص در تراشه های Broadcom وجود دارد که دارای نسخه سیستم عامل BCM4355C0 است، این تراشه نه تنها توسط آیفون استفاده می شود، بلکه توسط بسیاری از دستگاه های دیگر، از جمله گوشی های هوشمند آندروید، تلویزیون اپل و تلویزیون های هوشمند نیز استفاده می شود.

از آنجا که هیچ راهی برای پی بردن به این نکته که دستگاه شما از نسخه BCM4355C0 استفاده می کند یا خیر، وجود ندارد توصیه می شود که کاربران به روز رسانی اپل به iOS 11 را انجام دهند. اپل همچنین این مشکل را در آخرین نسخه tvOS خود نیز رفع کرده است.

همچنین، گوگل برای دستگاههای Nexus و Pixel و همچنین دستگاههای Android در اوایل ماه جاری به این موضوع  پرداخته است. با این حال، کاربران اندرویدی مجبورند منتظر بمانند تا سازندگان گوشی خود، به روز رسانی را در اختیار آنها قرار دهند.