جوجل اكتشفت ثغرات أمنية في متصفح شركة آبل

نشرت صحيفة فايننشال تايمز تقريراً مثيراً للجدل لتتحدث فيه عن حادثة اكتشاف شركة جوجل Google لثغرات أمنية عرّضت خصوصية المستخدمين للخطر في متصفح سفاري Safari التابع لشركة آبل Apple.

وفي التفاصيل الخاصة بعلية اكتشاف الثغرات فيبدو أن آبل قد تعرضت لموقف محرج إذ أن الثغرات التي عرّضت خصوصية المستخدمين للخطر كانت في الأداة الذكية التي أطلقتها الشركة لحماية خصوصية المستخدمين.

اسم الأداة هو الوقاية الذكية من التتبع Intelligent Tracking Prevention والتي تمنع مواقع الويب من تتبع المستخدمين أو حفظ أنشطتهم.

وبحسب تقرير الصحيفة فإن نقاط الضعف والثغرات التي كانت موجودة في أداة آبل الذكية قد سمحت لخمسة أنواع من الهجومات الخارجية التي يمكن أن تتطلع على معلومات المستخدمين.

وقال أحد الباحثين الأمنيين الذين اطلعوا على الثغرات المكتشفة بأن تلك الثغرات كانت يمكن أن تسمح لجهة خارجية بأن تقوم بتتبع المستخدم دون وجود طريقة لإيقاف هذا التتبع.

وكانت أداة الوقاية الذكية من التتبع قد تم إطلاقها من شركة آبل في عام 2017 لمنافسة المتصفحات الموجودة على الساحة مثل جوجل كروم Chrome من خلال تدعيم المتصفح بهذه الأداة الذكية.

وقال فريق جوجل الأمني أن الأداة كانت تخزن ضمنياً المعلومات والمواقع التي زارها المستخدم مما سمح بإمكانية الوصول إليها من قبل متسللين خارجيين.

لا يمكن أن تتسرب كل هذه المعلومات المتعلقة بالحادثة إلا بعد معالجتها، حيث أن اكتشاف الثغرة قد تم في شهر آب من العام الماضي، وقامت آبل بإصلاحها نهاية العام في شهر كانون الأول.

مقالات قد تعجبك:

كيف يعمل النظام الداعم لشريحتي اتصال في سلسلة iPhone X الجديدة
جولة افتراضية في المرآب الذي بدأت به شركة جوجل!
الواقع الافتراضي اليوم هو البداية لما هو آت في المستقبل
فيسبوك يستخدم رقم الهاتف المحمول لاستهداف المستخدمين بالإعلانات
كيفية حذف صوت مقطع الفيديو عند نشره على إنستغرام

سويسرا دعت القراصنة لاختراق نظامها الإلكتروني للتصويت

دعت الحكومة السويسرية وبصفة رسمية الشركات والباحثين الأمنيين والقراصنة من حول العالم من أجل محاولة اختراق نظامها الإلكتروني للتصويت وذلك بعد أن يتم تحويله إلى نظام مفتوح أمام الجميع قريباً.

وقالت الحكومة في بيان صحفي:

نرحب بالقراصنة المهتمين من جميع أنحاء العالم لمهاجمة النظام، من خلال القيام بذلك فسوف تساهمون في تحسين أمن النظام الخاص بنا.

سيتم إجراء اختبار الاختراق العام (PIT) بين 25 من شهر شباط الحالي و 2 آذار القادم، وستتوفر مكافآت نقدية تتراوح من 100 دولار إلى 30 ألف دولار بحسب الثغرات المكتشفة ودرجة خطورتها.

ومن المقرر إجراء جلسة تصويت إلكتروني وهمية في اليوم الأخير من فترة الاختبار في 24 آذار، ولكن يمكن للمشاركين مهاجمة نظام التصويت الإلكتروني قبل ذلك أيضاً.

للمشاركة في هذا الاختبار، يتعين على الشركات والباحثين في مجال الأمن الاشتراك مسبقاً قبل بدء جلسة اختبار الاختراق الرسمية.

حيث سيمنح التسجيل للمشاركين الإذن القانوني لمهاجمة النظام الحكومي، وسيضمن أن المكافآت النقدية ستصل لأولئك الذين يقدمون تقريراً عن الثغرات المكتشفة لأول مرة، مع فرض مجموعة من القواعد والقيود على المشاركين.

على سبيل المثال، بعض الأشياء التي لا يسمح للمشاركين في نظام اختبار الاختراق القيام بها هي تنفيذ الهجمات التي قد تضر الجهاز الشخصي للناخبين أو مهاجمة أنظمة غير ذات صلة تابعة للبريد السويسري وهو صانع نظام التصويت الإلكتروني.

سيساعد البريد السويسري في إجراء الاختبار عن طريق تعطيل بعض أنظمة الحماية الأمنية التي عادةً ما تحمي نظام التصويت الإلكتروني، وذلك لتمكين المشاركين من التركيز بشكل كامل على مهاجمة النظام الأساسي.

بالإضافة إلى ذلك، سيسمح البريد السويسري للمشاركين في الاختبار بطلب أكبر عدد ممكن من بطاقات الاقتراع الإلكترونية التي يحتاجونها لإجراء اختباراتهم، مع جعل شيفرة المصدر الخاصة بنظام التصويت الإلكتروني متوفرة للمشاركين في GitLab.

كما واستأجرت السلطات السويسرية أيضاً شركة SCRT SA السويسرية كطرف ثالث مستقل سيتحقق من تقارير الثغرات التي يقدمها المشاركون.

وقررت الحكومة السويسرية إجراء اختبارات اختراق عامة لنظام التصويت الإلكتروني لديها لتعزيز الثقة بأن هذه الأنظمة آمنة، وقالت الحكومة إن نظام التصويت الإلكتروني اجتاز بالفعل أكثر من 300 جلسة اختبار خاصة.

في حين قال المسؤولون أن التصويت الإلكتروني سيسهل على المواطنين السويسريين الذين يعيشون في الخارج المشاركة في عمليات التصويت التي يتم إجراؤها داخل البلاد.

مقالات قد تعجبك:

ما هي أجهزة كشف و إنذار الدخان والحرائق
إزالة الأشخاص من الصور بسهولة باستخدام برنامج الفوتوشوب
كيفيّة استرجاع كلمة مرور حساب Steam في حالة نسيانها
ما هو خطأ 503 Service Unavailable؟ وكيف يمكن إصلاحه؟
كيفيّة التقاط صور أفضل باستخدام وضع التتابع Burst Mode

جوجل دفعت أكثر من 15 مليون دولار لمكتشفي الثغرات

ازداد مؤخراً اعتماد الشركات التقنية الضخمة على نظام المكافآت والجوائز التي يتم منحها لمكتشفي الثغرات وأماكن الخلل الأمني في المنتجات والتطبيقات الخاصة بتلك الشركات.

وذلك بسبب تعقّد وسائل اكتشاف تلك الثغرات والصعوبة الكبيرة في الوصول إليها من قبل فريق الاختبار الخاص بالشركة، الأمر الذي يستدعي دعوة المهتمين في مجال الأمن لاكتشاف الثغرات المخبأة.

ونظراً إلى ازدياد قيمة الجوائز المالية الممنوحة، فإن عدداً متزايداً من خبراء الأمن أو المهتمين في هذا المجال بدأوا بالبحث والتحري في منتجات الشركات للحصول على المبالغ المالية المعلن عنها.

بالنسبة إلى شركة عملاقة مثل جوجل Google فيبدو أنها انتقلت مؤخراً إلى مستوى أعلى من الجوائز المالية الممنوحة لمكتشفي الثغرات.

حيث أعلنت الشركة عن منحها ما يزيد عن 15 مليون دولار أمريكي لمكتشفي الثغرات في أنظمتها وتطبيقاتها ومنتجاتها، وذلك خلال السنوات التسع الماضية.

في العام الماضي وحده دفعت جوجل 3.4 مليون دولار إلى 317 باحث أمني، وهو ما يمثّل زيادة ملحوظة في نظام المكافآت الخاص بالشركة وازدياد اعتماد جوجل على هذه الطرق لاكتشاف ثغراتها.

الجوائز المالية التي تم منحها من جوجل توزّعت بين العديد من التطبيقات والمنتجات الخاصة بالشركة، لكن متصفح Chrome ونظام التشغيل أندرويد كان لهما السيطرة على نصف المكافآت الممنوحة تقريباً.

بالطبع فإن قيمة المكافأة المالية المقدّمة من قبل الشركة تعتمد بالدرجة الأولى على خطورة الثغرة المكتشفة، وعلى سبيل المثال فإن واحدة من أخطر ثغرات العام الماضي نال مكتشفها حوالي 41 ألف دولار.

لكن الحد الأعلى للجوائز الممنوحة قد يصل إلى 200 ألف دولار فيما إذا كانت الثغرة على درجة عالية من الخطورة والأهمية، كما وتخطط الشركة لإضافة نظام مكافآت مالية لمكتشفي الثغرات الخاصة بأجهزة Chromebook.

مقالات قد تعجبك:

هل جهازك محمي من ثغرتي Meltdown و Spectre؟ أم متأثر بهما؟
ما هو مسح (فحص) المنافذ؟ وما هي أنواعه؟
كيفية إدارة أذونات البرامج في ويندوز 10
كيفية التحكم بالإعدادات المختلفة في كاميرات كانون Canon
كيفية تصفير عداد استخدام البيانات في ويندوز 10

شركة Tesla ستقدّم سيارتها Model 3 لمن يستطيع اختراقها

ليس هنالك أفضل من المسابقات التي تتحدّى فيها الشركات الكبيرة عباقرة الأمن المعلوماتي حول العالم في مسابقات الاختراق التي تحدث كل فترة.

فعند اكتشاف ثغرة في تلك المسابقات، فإن المنفعة تكون متبادلة بين الشركة من جهة ومكتشف الثغرة من جهة أخرى، حيث تتوصل الشركة من خلال هذه المسابقة إلى ثغرة أمنية معقدة جداً لدرجة أنها لم تستطع اكتشافها في مرحلة اختبار المنتج.

بينما ينال مكتشف الثغرة مبالغ مالية تصل إلى أرقام ضخمة جداً، وغالباً ما يُسلّط الضوء على مكتشفي الثغرات بوصفهم الأذكى في مجال الأمن المعلوماتي وربما يحصل بعضهم على وظائف في أرقى شركات العالم.

مع تفاقم التهديدات الأمنية وتعقدها وصعوبة اكتشاف بعضها في الفترة الأخيرة، أصبح الاهتمام مركزاً على مسابقة Pwn2Own السنوية التي تقام ضمن فعاليات مؤتمر CanSecWest في فانكوفر في كندا، حيث تعرض الشركات جوائزها المالية على مكتشفي الثغرات في منتجاتها البرمجية.

تركّز المسابقة السنوية عادةً على اكتشاف الثغرات في التطبيقات والخدمات ومتصفحات الويب التي تتبع لشركات كبيرة ومعروفة في عالم التكنولوجيا، لكن هذا العام فإن الأمر مختلف تماماً.

حيث ستشارك شركة تيسلا Tesla في المسابقة لكن ليس من أجل اختراق واكتشاف ثغرات تطبيق خاص بها، وإنما من أجل تحدّي اختراق سيارتها Tesla Model 3.

وقال منظمو المسابقة أن هذا العام سيشهد دخول سيارة تيسلا لأول مرة في فئة السيارات في المنتجات المعروضة من أجل محاولة الاختراق.

كما وقالت الشركة أن الشخص الأول الذي يستطيع اختراق السيارة سيقودها عائداً إلى منزله، حيث أن الشركة ستمنحه السيارة الفاخرة كهدية ثمينة.

كما وستمنح الشركة مجموعة من الجوائز المالية المخصصة لمكتشفي الثغرات في سيارتها الجديدة، وستتراوح قيمة الجوائز المالية بين 35 ألف دولار أمريكي وصولاً إلى 300 ألف دولار، اعتماداً على خطورة الثغرة.

وكانت المسابقة الشهيرة Pwn2Own قد تطورت بشكل لافت من جوائز تبلغ قيمتها حوالي 10 آلاف دولار لكل ثغرة مكتشفة لتصبح الآن واحدة من أكبر مسابقات اكتشاف الثغرات مع جوائز تصل لملايين الدولارات.

إذا كنت مهتماً بالحصول على سيارة Tesla Model 3 مجاناً من خلال اختراقها فإن المسابقة الدولية ستنطلق في اليوم 20 من شهر آذار القادم وستستمر حتى اليوم 22 من ذلك الشهر.

مقالات قد تعجبك:

كيفية حماية الحاسوب من فيروسات انتزاع الفدية Ransomware ؟
كيفية إرسال بطاقة هدايا Steam بأي مبلغ
كيفية تفعيل خدمات الطوارئ في هواتف آيفون من أجل الحماية
ما هي خدمة الحماية الجديدة لأندرويد Play Protect وكيفية تفعيلها
ما الفرق بين الجيليبريك Jailbreak والروت Root وإلغاء الحماية Unlocking ؟

جوجل قررت إغلاق +Google قبل 4 أشهر من التاريخ المحدد

في شهر تشرين الأول الماضي، اعترفت شركة جوجل Google بوجود خلل أمني استمر لمدة ثلاث سنوات على شبكتها الاجتماعية Google+، حيث تسبب هذا الخلل بتسريب معلومات المستخدمين.

وجدت الشركة وقتها الفرصة مناسبة لإعلان وفاة الشبكة الاجتماعية التي لم يُكتب لها النجاح كما هو الحال للشبكات الأقوى مثل فيسبوك وتويتر، وقالت الشركة أن Google+سيتم إغلاقها في شهر آب القادم.

يوم الأمس، أصدرت الشركة بياناً جديداً مفاجئاً قالت فيه أن عملية الإغلاق سيتم تسريعها وستحدث في شهر نيسان القادم، أي قبل أربعة أشهر من الموعد المحدد مسبقاً.

والسبب في ذلك أن الشبكة الاجتماعية تعرّضت لعملية تسريب جديدة لبيانات المستخدمين، حيث أثّرت المشكلة الجديدة على 52.5 مليون مستخدم.

وبحسب المعلومات التي اعترفت بها الشركة، فإن بيانات المستخدمين مثل الاسم والبريد الإلكتروني والعمر والمهنة كانت مرئية لجهات خارجية حتى مع تحديد نوع الحساب على أنه خاص.

كما وتمكنت التطبيقات الخارجية من الوصول إلى بيانات الملف الشخصي التي تمت مشاركتها مع مستخدم معين، ولكن لم تتم مشاركتها بشكل عام.

وعلى عكس المرة الماضية، فإن الاعتراف بالفضيحة الجديدة جاء هذه المرة من الشركة مباشرةً التي قالت أنها اكتشفت الخطأ من تلقاء نفسها، حيث كان هذا الخلل الأمني متواجداً لمدة ستة أيام فقط، ما بين 7 تشرين الثاني و 13 تشرين الثاني.

ويبدو الخلل الجديد أقل خطورةً من الثغرة التي تم الاعتراف بها مسبقاً، خاصةً وأن الثغرة القديمة تم اكتشافها في شهر آذار ولكن لم يتم الكشف عنها للعلن إلا في تشرين الأول، مما أدى إلى مخاوف تتعلق بالشفافية.

ولكن مع ذلك فإن جوجل يبدو أصبحت مصرّة على إغلاق شبكتها التي أصبحت عبئاً عليها ومصدراً مزعجاً لفضائح الخصوصية التي قد تترك آثار على سمعة الشركة والأسوأ من ذلك أنها قد تؤدي لمحاكمتها.

وأكّدت جوجل على أن عملية الإغلاق ستكون خاصة بالنسخة المخصصة للمستهلكين والأفراد من الشبكة الاجتماعية، في حين ستلتزم الشركة بتوفير نسخة مستقرة من الشبكة كمنتج خاص للشركات المتواجدة في خدمات حزمة G Suite.

مقالات قد تعجبك:

كيفية تغيير كلمة مرور حساب جوجل Google وبريد جيميل Gmail
كيفية البحث باستخدام الصور من خلال بحث الصور العكسي من جوجل
أفضل مواقع الاستماع إلى موسيقى الخلفية أو الضجيج المحيطي
ما هي أوضاع التصوير Shooting Modes في الكاميرا ؟ و ما هو عملها ؟
ما هو ملف PHP و كيف يمكن فتحه ؟

آبل ترسل تحديث iOS لإصلاح ثغرة الحرف الهندي

قامت شركة آبل Apple بإطلاق تحديث iOS 11.2.6 والذي يتضمّن حلاً لمشكلة المحرف الخاص من اللغة الهندية Telugu والذي تسبّب بانهيار أجهزة الآيفون وجعل العديد من التطبيقات مثل تطبيق الرسائل و Facebook و Messenger و WhatsApp غير قابلة للوصول.

تم اكتشاف الثغرة خلال الأسبوع الماضي، حيث تسمح تلك الثغرة بإرسال حرف محدد من قبل أي شخص إلى أجهزة الآيفون مما يؤدي لانهيار الجهاز وتعطيل الوصول لبعض التطبيقات، وقد أثّرت هذه الثغرة على تطبيق Safari وتطبيق الرسائل المضمّن في نظام macOS و Apple Watch، وأطلقت الشركة تحديثات لأنظمة watchOS و tvOS و macOS لإيقاف حالات الانهيار التي تحدث على هذه المنصات أيضاً.

وكانت الشركة قد وعدت بإطلاق تحديث قبل إطلاق التحديث المنتظر iOS 11.3، وبالفعل فإن هذا االتحديث وصل تحت اسم iOS 11.2.6، علماً أن كل النسخ Beta من الأنظمة iOS و macOS و watchOS و tvOS قد أصلحت مشكلة الانهيار.

الجدير بالذكر أن التحديث الأخير هو المرة الثالثة خلال الأشهر القليلة الماضية التي تضطر فيها الشركة لإصدار تحديث عاجل لنظام iOS 11 من أجل حل مشاكل الثغرات التي تسبب انهيار الجهاز، ففي شهر كانون الأول قامت الشركة بإصدار تحديث iOS رئيسي وذلك بعد ساعات من بدء ظهور حالات انهيار وتعطل لأجهزة هواتف آيفون، أما في الشهر الماضي فقد أرسلت الشركة تحديث iOS 11.2.5 بعد ظهور مشكلة تجمد هاتف آيفون بسبب إرسال رابط إليه!

 

مقالات قد تعجبك:
إصابات جسدية وجروح لبعض موظفي مقر آبل الجديد بسبب أبوابه الزجاجية
اكتشاف ثغرة جديدة في iOS وآبل وعدت بإصلاحها
إصلاح HomePod من آبل سيكلّف كشراء واحد جديد تقريباً
آبل حذفت مؤقتاً تطبيق Telegram من متجرها بسبب مواد إباحية
ساعة شبيهة بساعة آبل لكن مع بطارية تصمد لمدة شهر

اكتشاف ثغرة جديدة في iOS وآبل وعدت بإصلاحها

كان لدى شركة آبل Apple عدة أسابيع سيئة ومليئة بالمشاكل البرمجية في نظامها الجديد وذلك قبل نهاية عام 2017، ويبدو أن العام 2018 لن يخلو هو الآخر من المشاكل المتلاحقة، حيث تم اكتشاف خطأ جديد في نظام iOS 11 يسبب انهيار هاتف آيفون ويمنعه من الوصول إلى تطبيق الرسائل والتطبيقات المعروفة الأخرى مثل WhatsApp و Facebook و Messenger و Outlook و Gmail.

والغريب في الأمر أن كل ذلك يحدث عندما يقوم أحد المستخدمين بإرسال محرف معين إلى الهاتف، وقد تم رصد الثغرة الجديدة من مدونة Mobile World الإيطالية، وقام موقع The Verge باختبار الثغرة وتأكد من حدوثها على مجموعة من هواتف آيفون التي تعمل بنظام iOS 11.2.5، بالإضافة على نسخ نظام macOS في كل من تطبيقات Safari و Messages، وستعمل الشركة على إصلاح الخطأ المكتشف من خلال تحديث للنظام وذلك قبل إطلاق تحديث iOS 11.3 في ربيع هذا العام.

المحرف الذي يتسبب بكل هذه الأمور هو حرف خاص من اللغة الهندية المسماة Telugu، حيث سينهار نظام الهاتف حالما يتم استلام هذا المحرف وسيتعطل تطبيق الرسائل في الهاتف بسبب قيامه بمحاولة تحميل المحرف وفشله في ذلك، وعلى ما يبدو فإنه لا توجد طريقة لإمكانية الوصول إلى تطبيق الرسائل من جديد إلا عندما يقوم مستخدم بإرسال رسالة أخرى إلى الهاتف والقيام بمحاولة حذف الرسالة السابقة التي تتضمن المحرف الهندي.

وتم القيام بتجريب إرسال المحرف من خلال تطبيقات الطرف الثالث مثل WhatsApp  و Facebook Messenger و Outlook و Gmail التي تعمل على نظام iOS وانهارت هذه التطبيقات وأصبحت غير قابلة للوصول في اللحظة التي تم استقبال رسالة المحرف من خلالها، والأسوأ من ذلك هو صعوبة حذف الرسالة المسببة للمشكلة على بعض التطبيقات مثل WhatsApp مالم تتواجد إمكانية للوصول إلى التطبيق من خلال موقع الويب، مع العلم أن بعض التطبيقات مثل Telegram و Skype لم تتأثر بالمشكلة كما أن النسخة Beta من تحديث iOS 11.3 لا تتأثر أيضاً بمشكلة المحرف الهندي.

الجدير بالذكر أن هذا الخطأ الجديد لم يكن المرة الأولى التي ينهار فيها نظام iOS نتيجة إرسال محرف معين أو عنوان URL أو حتى فيديو، ففي الشهر الماضي تسبب أحد الروابط المرسلة بتجميد هاتف آيفون وتوقفه عن الاستجابة، لكن الشركة استطاعت حل المشكلة من خلال إرسال تحديث iOS 11.2.5، أما في عام 2016 قفد تسبب مقطع فيديو مدته 5 ثواني بانهيار الهاتف، وقبل عام في 2015 تسببت سلسلة محارف بإيقاف تطبيق الرسائل iMessage.

وتواجه الشركة مجموعة من القضايا الأمنية والثغرات البرمجية في الوقت الذي تحاول فيه التركيز على الوثوقية والأداء في نظام iOS 12 أكثر من التركيز على تقديم ميزات جديدة، حيث تقول بعض التقارير أن الشركة ستتبع نهجاً جديداً في إرسال التحديثات يسمح لمهندسي الشركة بإرسال الميزات في تحديثات متلاحقة بدلاً من تجميعها وإرسالها دفعة واحدة في التحديث السنوي الكبير للنظام.

 

مقالات قد تعجبك:
مايكروسوف تصدر التحديث الأمني الثاني للتعامل مع ثغرة Spectre
ثغرة أمنية في برنامج بصمات الأصابع لأجهزة Lenovo
ثغرة برمجية تسبب تجمّد هواتف آيفون ما الحل ؟
موقع LinkedIn تجاهل باحث فلسطيني قد اكتشف ثغرة في الموقع
إصلاح HomePod من آبل سيكلّف كشراء واحد جديد تقريباً