أرشيف الوسم: خلل أمني

مصنّعو أجهزة أندرويد يكذبون حول النقص في التحديثات الأمنية

كُتب يوم بواسطة

تبدو هواتف أندرويد Android بطيئة للغاية في الحصول على التحديثات، فاعتباراً من آخر تحديث لشركة جوجل Google في شهر شباط، فإن %1.1 من مستخدمي أندرويد يتمتعون بإمكانية الوصول إلى أحدث إصدار من البرنامج.

ولكن يبدو أن المشكلات التي تطرأ على تحديثات برامج أندرويد أعمق من ذلك، حيث تدّعي شركة الأبحاث Security Research Labs أن العديد من الشركات المصنعة لهواتف أندرويد تكذب على المستخدمين حول تصحيحات الأمان المفقودة.

قضى الباحثان Karsten Nohl و Jakob Lell عامين في تحليل أجهزة أندرويد للتحقق مما إذا كانت الهواتف قد قامت بالفعل بتثبيت تصحيحات الأمان اللازمة، ووجد الباحثان أن العديد من الأجهزة لديها ما أطلقوا عليه تسمية فجوة التصحيحات.

حيث يدّعي برنامج الهاتف أنه كان محدثاً مع تصحيحات الأمان ولكنه كان في الواقع يفتقد إلى عشرات من هذه التصحيحات.

تصحيحات الأمان المفقودة ليست مجرد حادثة معزولة، فقد قامت شركة Security Research Labs باختبار البرامج الثابتة من 1200 هاتف من شركات مثل Google و Samsung و HTC و Motorola و ZTE و TCL.

وذلك مقابل كل تصحيح أندرويد تم إصداره العام الماضي، ووجدوا أنه حتى الأجهزة الرائدة الرئيسية من شركات مثل Samsung و Sony افتقدت في بعض الأحيان إلى التصحيحات اللازمة.

من الواضح أن هذا سيئ، سواء كان ذلك مقصوداً أم لا، فالأمر لا يقتصر على ترك العملاء عرضة للاختراق نظراً لعدم وجود آخر تحديثات الأمان.

بل أن هؤلاء العملاء لديهم شعور زائف بالأمان من خلال الاعتقاد بأنهم يتمتعون بالحماية الكاملة، مما قد يؤدي إلى نتائج أكثر كارثية على المدى الطويل.

لكي نكون منصفين، لا تتساوى جميع شركات تصنيع الهواتف عندما يتعلق الأمر بتحديثات الأمان المفقودة.

في المتوسط ​​كانت الهواتف من Google و Samsung و Sony تميل إلى عدم تفويت تلك التحديثات في بعض الأحيان.

لكن شركات مثل ZTE و TCL أدت بشكل أسوأ بكثير في هذا الموضوع مع الأجهزة التي ادّعت أنها قامت بتركيب ما معدّله أربعة أو أكثر من تحديثات الأمان أكثر مما قامت به بالفعل.

وبالنسبة إلى شركة Google قالت أنها ستجري المزيد من التحقيق في المشكلة.

وحاولت أيضاً توضيح بعض النتائج التي توصلت إليها شركة Security Research Labs مع الشركات المصنّعة التي تخطت التصحيحات للميزات والتي ربما تمت إزالتها تماماً من الجهاز.

أو أن بعض الهواتف كانت تفتقر إلى شهادة أندرويد الرسمية للأمان من Google في المقام الأول، لكن من الواضح أنه لا يزال هناك المزيد من العمل الذي يتعين القيام به.

بعد كل شيء، إذا لم يتمكن منتجو أجهزة أندرويد من تحديث هواتفهم، فإن أقل ما يمكنهم فعله هو أن يكونوا صادقين بشأن هذه الحقيقة.

تجدر الإشارة أنه وللمساعدة في هذه المشكلة قامت شركة Security Research Labs بإصدار أداة تسمى SnoopSnitch على متجر Play.

والتي يمكنها تحليل البرامج الثابتة الخاصة بهاتفك من أجل تحديثات أمان أندرويد المثبتة أو المفقودة لمعرفة ما إذا كنت آمناً بالفعل أو لا، يمكنك تحميل هذه الأداة من هنا.

 

مقالات قد تعجبك:
كيف تقوم جوجل بتحديث جميع أجهزة أندرويد
لماذا لا تصل تحديثات جديدة إلى أجهزة الأندرويد ؟ وما الذي يمكن فعله ؟
جوجل ستحظر تطبيقاتها على أجهزة الأندرويد الغير مصدقة
نسخة المطورين من أندرويد P ربما كشفت عن اسمه
جوجل ستوقف خدمة اختصار الروابط goo.gl

 

خدمة ستعلمك إن كانت كلمات المرور التي تستخدمها لحساباتك مسربة أو مخترقة

كُتب يوم بواسطة

قدّم تطبيق إدارة كلمات المرور 1Password ميزة جديدة تقوم بتنبيه المستخدم في حال كانت كلمة المرور الخاصة به معرضة للخطر، وتتكامل هذه الميزة مع الخدمة الجديدة التي تم إطلاقها في بداية الأسبوع من قبل خبير أمن الويب Troy Hunt وتدعى Pwned Passwords والتي تسمح للمستخدمين بالتأكد فيما إذا كانت كلمة المرور الخاصة بهم قد تم تسريبها سابقاً على شبكة الانترنت أو لا، وذلك بمساعدة قاعدة بيانات تحتوي على أكثر من 500 مليون كلمة مرور تم تجميعها من التسريبات والاختراقات الأمنية.

وبدءاً من اليوم، أي شخص يملك عضوية مع تطبيق 1Password يمكنه استعمال هذه الخدمة المتكاملة مع قاعدة البيانات الضخمة الخاصة بـ Hunt، كل ما تحتاج القيام به هو الدخول إلى حسابك الخاص على التطبيق، ثم الضغط على Open Vault، وبعدها قم باختيار عنصر لعرض التفاصيل الخاصة به، إذا كنت تستخدم نظام Mac يمكنك الضغط باستمرار على المجموعة Shift-Control-Option-C، أما إذا كنت تستخدم نظام Windows فستحتاج للضغط على المجموعة Shift+Ctrl+Alt+C، ولاستعمال الميزة الجديدة التي نتكلم عنها يمكنك الضغط على زر check password لتتأكد فيما إذا كانت كلمة المرور الخاصة بك متطابقة مع إحدى الكلمات المصنفة ضمن قاعدة البيانات.

شركة AgileBits صاحبة تطبيق 1Password أكدت أن التحقق من كلمة المرور الخاصة بك من خلال التطبيق هو عملية آمنة، حيث أن الشركة تقوم بتشفير كلمة المرور المدخلة من خلال خورازمية Secure Hash Algorithm 1 وترسل الحروف الخمسة الأولى من التشفير إلى خدمة Hunt، وبعد ذلك يقوم خادم Hunt بإرسال قائمة بكلمات المرور المسربة أو المصنّفة بالخطرة والتي يتطابق فيها الحروف الخمسة الأولى من تشفيرها مع الحروف الخمسة الأولى المرسلة من تشفير كلمة المرور، وأخيراً يقوم التطبيق محلياً بالمقارنة للحصول على المطابقة الكاملة والتأكد من حالة كلمة المرور.

ونوّهت شركة AgileBits أنه في حال حصول تطابق بين كلمة مرور المستخدم وكلمة مرور مخزنة مسبقاً على قاعدة البيانات فهذا لا يعني بالضرورة أن حساب المستخدم قد تم اختراقه، فمن الممكن أن تكون الكلمة مستخدمة من قبل شخص آخر، لكن بجميع الأحوال توصي الشركة في هذه الحالة أن يقوم المستخدم بتغيير كلمة المرور الخاصة به، علماً أن الشركة تخطط لإضافة الميزة إلى الأداة Watchtower من خلال تطبيق 1Password في المستقبل.

ومع أن البعض قد يعتقد أن استخدام كلمات مرور طويلة أو معقدة ومختلفة بين الحسابات الشخصية هو أمر صعب ويستهلك المزيد من الوقت، إلا أن ذلك أكثر أماناً مع تزايد الثغرات الأمنية وحالات الاختراق، لذلك إذا كنت تستخدم كلمة مرور سهلة وموحدة بين جميع حساباتك فإن خطر الاختراق سيكون بنسبة أعلى لديك وستحتاج عندها لاستخدام التطبيق.

 

مقالات قد تعجبك:
بعض إعلانات المواقع تستغل كلمات المرور المحفوظة في المتصفح
سامسونج قد تتيح مسح راحة اليد لعرض تلميح كلمة المرور
اختراق حساب تيسلا السحابي واستعماله لتعدين العملات الرقمية
تفاصيل محاولة اختراق موقع OnePlus الرسمي وسرقة البيانات البنكية للزبائن
أوبر متهمة باختراق منافسيها والتجسس على السياسيين وتوظيف محتجين مزيفين