ألمانيا تحظر الساعات الذكية عن الأطفال

قامت وكالة الاتصالات الألمانية Bundesnetzagentur بحظر استخدام الساعات الذكية للأطفال ، كما طلبت من الآباء ” تحطيمها ” و ذلك بحسب موقع  Bleeping Computer .

و اعتبر المُشرع أن الساعات الذكية الموجهة للأطفال هي ” أجهزة تجسس ممنوعة ” و طلب من الآباء القيام بتحطيم تلك الساعات الخاصة بأبنائهم كما نصح المدارس بالانباه جيداً إلى الأطفال الذين يمتلكون واحدة منها .

و أشارت السلطات الألمانية إلى قدرة التجسس لهذه الساعات و لكنها _ و بغرابة _ لم تقل أي شيء حول إعلان منظمة الإستهلاك الأوربية BEUC و التي اعتبرت أن الساعات الذكية تنطوي على تهديدات أمنية لخصوصية الطفل حيث حذرت المنظمة من إمكانية اختراق نظام تحديد المواقع العالمي جي بي إس GPS الخاص بها ليتم إخفاء الأثر أو تمويه الموقع .

و تستمر الحملة الأوربية على الساعات الذكية حيث سيتم إجبار مصنعي الساعات على زيادة بروتوكولات الحماية و تحسين متجرها .

 

اقرأ أيضاً :

آبل تعلن عن ساعتها الجديدة و التي تدعم الاتصالات الخلوية

 

تطبيق صراحة يعاني من مشاكل أمنية خطيرة

تلبية لفضول البشر في معرفة ماذا يُقال عنهم بصراحة ، فقد حقق تطبيق صراحة Sarahah الشهير عبر فيس بوك Facebook انتشاراً واسعاً و خاصة في صفوف المراهقين .

و لطالماً ما أثار هذا التطبيق مخاوف أمنية من العديد من المختصين في مجال الأمن و الحماية حيث كان آخرهم الباحث سكوت هيلم Scott Helme .

و بحسب الباحث السابق فإن المخاوف الأمنية تركزت على نسخة الويب من تطبيق صراحة و ليس تطبيق الموبايل .

و وصف الباحث أن نظام الحماية CSRF الخاص بتطبيق صراحة تعتبر سهلة التجاوز . حيث يعتبر بحد ذاته شكل خطير من الهجوم و الذي يمكن أن يؤدي إلى تصرفات سيئة على حساب الفيس بوك Facebook للشخص الذي سجل من خلاله في خدمة صراحة ، حيث أشار الباحث إلى أن المهاجم يمكن أن يستغل هذا الأمر من أجل إجبار الحساب على تفضيل منشورات معينة .

كما أشار إلى أنه و في شهر آب المنصرم قام باحث آخر يدعى روني داس Rony Das من معهد Defencely باكتشاف ملفات XSS ( سكريبت عبر الموقع ) قابلة للإصابة و التي يمكن من خلالها القيام و بشكل عدائي برفع محتويات تكون بشكل خاص بصيغة أتش تي إم إل HTML و جافا  سكريبت JavaScript و التي يمكن أن يتم إستدعاؤها و تنفيذها ضمن المتصفح و بالتالي فإنه يمكن عبر هذا النوع من الهجوم القيام بإعادة تحويل المستخدم إلى مواقع أخرى و التي يمكن أن تحوي على برمجيات خبيثة مثل الفايروسات أو برامج التجسس .

الباحث هيلم Helme اكتشف أيضاً مشاكل خطرة مع نظام الحماية و الذي يمنع الموقع من استخدام بروتوكول إتش إس تي إس HSTS  و الذي يُستخدم بشكل متزايد من أجل حماية المستخدمين من اختراق الكوكيز و هجمات البروتوكول منخفض الحماية .

يملك تطبيق صراحة نظام تصفية ( فلترة ) و الذي يستطيع من خلاله استبعاد منشورات بالاعتماد على الكلمات المستخدمة .و بحسب هذا النظام فإن كلمة سكريبت “script” ضمن الكلمات المستبعدة و من المحتمل أن تكون هذه ” طريقة بلهاء ” من أجل تجنب هجمات XSS  كون هناك الكثير الكثير من الطرق من أجل إدخال الجافاسكريبت الخاص بالمهاجم دون استخدام وسم أو تاغ سكريبت script .

و اكتشف الباحث أيضاً افتقار تطبيق صراحة لأي نوع من التقييد سامحا للمستخدم بإمكانية إرسال الكثير من الرسائل سوية. و هي مشلكة تتعلق بقضايا الحماية و معايير المجتمع و ذلك بسبب أن هذا يسبب إزعاج الضحية بعدد لا نهائي من الرسائل المزعجة و ذلك فقط من خلال كتابة سكريبت  بسيط ..

كما يفتقر تطبيق صراحة إلى وظيفة حذف متعدد للرسائل و هو ما يجبر الضحية على قراءة الرسالة أو على الأقل إلقاء نظرة سريعة على كل الرسائل المزعجة التي تتلقاها .

كما عبر الباحث عن مخاوفه من الطريقة التي يتعامل فيها الموقع مع إعادة تعيين كلمة السر في حالة نسيانها و محاولات الدخول المعتمدة على التخمين . حيث يمكن أن يستخدم بطريقة مزعجة .

فمن أجل إعادة تعيين كلمة السر في تطبيق الصراحة فلا يطلب منك سوى عنوان البريد الإلكتروني المرتبط بالحساب ثم سيقوم الموقع بإنشاء ذاتي لكلمة سر جديدة يتم إرسالها إلى ذلك الإيميل و هذا أيضاً لا يقيد بعدد محدد و بالتالي يمكن كتابة سكريبت من أجل تغيير كلمة السر كل ثلاثين ثانية و هذا لن يؤدي إلى ملء صندوق الوارد للضحية فحسب إنما سيجعل من الصعب لهم الدخول إلى حسابهم

و نفس السكريبت السابق يمكن أن يستخدم من أجل منع المستخدم من الدخول إلى حسابهم بطريقة تسجيلات الدخول الخاطئة حيت يتم بعد عشر محاولات خاطئة قفل الحساب لفترة عشوائية من الزمن .

وقال الباحث أن مشكلته الأكبر مع التطبيق هي النقص الواضح في الاحترافية ، حيث قدم لهم ما وجده قبل أشهر من أجل تنبيههم على هذه القضايا الأمنية ، و بعد أشهر من المتابعة دون جدوى قام بكشف هذه القضايا عبر مدونته الشخصية .

ثغرة خطيرة في شبكات الواي فاي تؤثر على جميع الأجهزة

إذا كنت تعتقد أن نظام التشفير القوي WPA2  آمن فأنت مخطئ تماماً بعد أن تم مؤخراً اكتشاف ثغرة خطيرة تحمل الاسم ” كراك ” KRACK .

الثغرة التي تم اكتشافها من قبل معهد Ars Technica التكنولوجي تعتمد بشكل رئيسي على مهاجمة بروتوكول الحماية WPA2 و هو نظام تشفير قوي من أجل حماية شبكات الواي فاي Wi-Fi من الاختراق ، كما يمكن من خلالها مهاجمة نظام التشفير WPA و WEP الأضعف .

ويستهدف هذا الهجوم ما يعرف ب The 4-way handshakeو هو المسؤول عن مطابقة كلمة السر بين أجهزة المضيف ونقطة الوصول (الراوتر)

و لكون نقطة الضعف هي في معايير الواي فاي Wi-FI نفسها فإن هذه الثغرة  تستهدف أي جهاز يدعم تقنية الاتصال اللاسكلي الواي فاي Wi-Fi ، ما يعني أن كل الأنظمة معرضة لهذا الهجوم : الأندرويد Android و نظام الماك MacOS و الويندوز Windows و IOS و اللينوكس Linux .

و من خلال هذه الثغرة يستطيع الهاكرز اعتراض حركة مرور البيانات ( الترافيك ) مابين  نقطة الوصول و الأجهزة المتصلة و حتى دون الحاجة إلى معرفة كلمة السر الخاصة بالشبكة .

و بحسب الباحثين فإن الأجهزة الأكثر عرضة لهذا الهجوم هي أجهزة الأندرويد Android العاملة بالإصدار السادس Android 6 Marshmallow منه و الأجهزة العاملة بنظام لينوكس Linux حيث وجد الباحثون أن حوالي 41% من كل أجهزة الأندرويد عرضة للإصابة بهذا ” الهجوم التخريبي الاستثنائي ” .

و يستطيع الهاكرز – الذي يكون ضمن نطاق الشبكة – من خلال هذا الهجوم اعتراض البيانات المرسلة و ” حقن” برمجية فدية أو برمجية خبيثة ، كما بإمكانه سرقة كلمات المرور ، أرقام الحسابات المصرفية ، رسائل الدردشة ، الصور ، البريد الإلكتروني و العديد من الأشياء الأخرى .

و بعد ساعات من الإعلان عن هذه الثغرة قالت شركة مايكروسوفت Microsoft أنها قامت بإصلاح المشكلة مسبقاً للمستخدمين الذي يعتمدون نسخ مدعومة من ويندوز Windows و قالت : ” لقد أصدرنا تحديث حماية من أجل معالجة هذه القضية ، المستخدمون الذين قاموا بتنزيل هذا التحديث أو أن التحميل الآلي مفعل لديهم سيتمتعون بالحماية المطلوبة ” .لتحميل التحديث اضغط هنا  .

أما بالنسبة لأجهزة الأندرويد Android فقد وعدت شركة غوغل Google بإصلاح المشكلة قريباً في الأسابيع القادمة حيث ستكون أجهزة غوغل الخاصة وهي أجهزة البيكسل أولى الأجهزة التي سوف تحصل على باتش الحماية في السادس من الشهر القادم إلا أن معظم الأجهزة الأخرى ستحصل عليه لاحقاً .

بالنسبة لشركة آبل Apple فلم توضح  فيما إذا كانت أحدث إصدارات أنظمة التشغيل الخاصة بها i0S و MacOS معرضة للهجوم أم لا . و لكنها أعلنت لاحقاً إصلاح المشكلة في النسخة بيتا من أنظمة التشغيل الحالية و سيصبح التحديث متاحاً للجميع خلال أسابيع .

فيديو يوضح آلية الهجوم باستخدام هذه الثغرة :