مشكلة في بصمة Galaxy S10 سمحت بفتح الهاتف من قبل أي شخص

كُتب يوم 17 أكتوبر، 2019 بواسطة محمد عبد الرحمن بركات

عندما أطلقت شركة سامسونج Samsung هاتفها الرائد Galaxy S10 كانت البصمة المدمجة بشاشته هي من أكثر النقاط التي ركّزت الشركة عليها وتحدّثت عن أمانها الكبير.

وذلك بسبب استعمال الشركة لقارئ بصمة يعمل على قراءة الأمواج فوق الصوتية لبصمة المستخدم، الأمر الذي يزيد من أمانها ويصعّب من اختراقها.

بعد وصول الهاتف إلى الأسواق ومن ثم إلى المستخدمين، لم تستطع بصمة Galaxy S10 أن تثير إعجاب الجميع وذلك بسبب كونها أبطأ من غيرها في قراءة بصمة الإصبع.

لكن ما حدث مؤخراً مع سيدة بريطانية تجاوز مشكلة التأخير والبطء وانتقل إلى مشكلة أكثر خطورة في بصمة الهاتف، وهي كسر حماية الهاتف وإمكانية اختراقه.

حيث قالت تلك المستخدمة أن زوجها استطاع فتح قفل الهاتف بمجرد وضع اصبعه على الشاشة رغم أن الهاتف مؤمّن ببصمتها ولم يتم إدخال بصمة زوجها.

بعد التحقيق في الحادثة تبيّن أن المشكلة حصلت بعد تركيب لصاقة حماية على شاشة الهاتف تم شرائها من جهة خارجية على الإنترنت.

ويبدو أن تركيب لصاقة حماية خارجية قد يؤدي إلى أخطاء في قارئ البصمة المدمج بشاشة الهاتف ويدفعه إلى فتح القفل بمجرد وضع أي بصمة عليه.

لم تتأخر سامسونج في ردّها حيث قالت في تصريح لوكالة رويترز أنها تدرك بالفعل وجود مشكلة في قارئ بصمة الإصبع وستعمل على حلها بأسرع وقت ممكن من خلال تحديث برمجي.

كما نوّهت الشركة في بيانها إلى ضرورة استعمال الملحقات والاكسسوارات الخاصة بالهاتف من قبل الشركة فقط والابتعاد قدر الإمكان عن الملحقات من الجهات الخارجية.

وتبدو مشكلة البصمة خطيرة جداً ليس فقط بسبب احتمالية كسر حماية الهاتف والاطلاع على بياناته الداخلية، وإنما بسبب ربط بعض الحسابات البنكية باستخدام بصمة الإصبع الخاصة بالهاتف.

حيث قام أحد البنوك في كوريا الجنوبية بالطلب من عملائه إيقاف تسجيل الدخول إلى خدماته من قبل هواتف Galaxy S10 المؤمنة ببصمة الإصبع حتى يتم حل المشكلة.

مقالات قد تعجبك:

كيفية اختيار الرام للكمبيوتر المكتبي والمحمول

كيفية منع ظهور منشوارت ميزة في هذا اليوم على فيسبوك

كيفية ترقية أو استبدال الرام في الكمبيوتر المحمول

كيفية الدخول إلى الوضع الآمن في ويندوز

كيفية ترقية أو استبدال محرك الأقراص في الكمبيوتر المكتبي

باحثان أمنيان اخترقا سيارة Tesla Model 3 وفازا بها

كُتب يوم 25 مارس، 2019 بواسطة محمد عبد الرحمن بركات

هل سمعت سابقاً بمسابقة Pwn2Own السنوية المختصة باكتشاف الثغرات الأمنية وإعطاء المكافآت للباحثين الأمنيين الذين يستطيعون كشف هذه الأخطاء والثغرات الخطيرة؟

هذا العام لم تكن تلك المسابقة السنوية اعتيادية، والسبب هو مشاركة شركة تيسلا Tesla والتي تحدّت المشتركين في المسابقة من أجل كشف أي ثغرة أمنية خطيرة في سيارة Model 3 وهو ما ذكرناه في مقالة سابقة حول تحدّي الشركة.

خسرت الشركة التحدي، وكسبت معرفة ثغرة أمنية موجودة في متصفح السيارة، حيث استطاع الفريق Fluoroacetate المؤلف من الباحثين Richard Zhu و Amat Cam اختراق المتصفح.

That's a wrap! Congrats to @fluoroacetate on winning Master of Pwn. There total was $375,000 (plus a vehicle) for the week. Superb work from this great duo. pic.twitter.com/Q7Fd7vuEoJ
— TrendAI Zero Day Initiative (@thezdi) March 22, 2019

الجائزة التي حددتها الشركة في بداية المسابقة كانت ثمينة جداً، حيث قالت الشركة أن مَن يستطيع اختراق السيارة سيعود بها إلى بيته، وهو ما حدث بالفعل حيث تم منح السيارة كهدية إلى الباحثين الأمنيين.

شركة تيسلا كانت سعيدة باكتشاف الثغرة، حيث قالت في بيان خاص أنها دخلت المسابقة من أجل الانخراط مع الأعضاء الأكثر موهبةً في مجتمع الأمن المعلوماتي.

وقالت الشركة أن سيارتها الفخمة تحتوي على العديد من طبقات الأمان التي لم يستطع أحد اختراقها، في حين لم يكن مستوى الحماية بالشكل المطلوب بالنسبة لمتصفح السيارة الذي مكّن الباحثين الأمنيين من الفوز بالسيارة.

شكرت شركة تيسلا الباحثين المكتشفين للثغرة ووعدت بإصدار تحديث عاجل لإغلاق الثغرة خلال الأيام المقبلة ومنحت السيارة بالإضافة إلى مجموعة من الجوائز المالية للفريق الفائز.

الجدير بالذكر أن مسابقة Pwn2Own كانت تضم أربع فئات لاكتشاف الثغرات في السنوات الماضية والتي تنوعت بين متصفحات الويب وبرامج المحاكاة الافتراضية وتطبيقات المؤسسات وبرامج الخادم.

لكن المميز في نسخة المسابقة من هذا العام هو احتوائها على فئة خامسة وهي فئة السيارات التي شاركت فيها شركة تيسلا.

خلال مسابقة Pwn2Own تم منح ما يزيد عن نصف مليون دولار من الجوائز المالية لمكتشفي ثغرات أمنية في متصفح آبل Safari ومتصفح مايكروسوفت Edge ونظام ويندوز ومتصفح Firefox و VMware Workstation.

مقالات قد تعجبك:

كيفية إنشاء مخطط بياني بسهولة على أي جهاز دون برامج

ما هي ملفات النظام الخاصة بويندوز؟ وأين توجد؟

كيفية استعادة حساب واتساب عند نسيان PIN رمز التحقق بخطوتين

كيفية إصلاح التطبيقات والميزات غير المرغوبة في هواتف سامسونج

ما هو نظام التشغيل ؟

فيسبوك اعترفت بحفظ كلمات مرور المستخدمين بشكل غير مشفر

كُتب يوم 22 مارس، 2019 بواسطة محمد عبد الرحمن بركات

قامت شبكة ومنصة فيسبوك Facebook للتواصل الاجتماعي بتخزين كلمات المرور الخاصة بمئات الملايين من المستخدمين على شكل نص غير مشفّر نتيجة حدوث خلل برمجي.

حيث عادةً ما يتم تخزين كلمات المرور والمعلومات الحساسة بطريقة تشفير تدعى Hashing ولكن سلسلة من الأخطاء البرمجية في تطبيقات فيسبوك تركت مئات ملايين كلمات المرور غير مشفّرة.

لحسن الحظ فإن كلمات المرور هذه كانت غير قابلة للوصول من خارج الشركة، ولكن في نفس الوقت كانت متاحة لآلاف الموظفين المتواجدين في فيسبوك، الأمر الذي عرّضها لخطر التسريب.

ويُعتقد أن ما بين 200 مليون و 600 مليون مستخدم على فيسبوك قد تأثروا بالخلل الأخير، حيث اعترفت فيسبوك بوجود المشكلة في منشور على مدونتها بعنوان الحفاظ على كلمات المرور آمنة.

وقالت الشركة أن إدارة فيسبوك استطاعت كشف المشكلة في شهر كانون الثاني الماضي أثناء قيامها بمراجعة أمنية، كما أكّدت فيسبوك أن المشكلة تم إصلاحها وسيتم إعلام المستخدمين المتأثرين.

وفقاً لفيسبوك، لا يوجد دليل على أن كلمات مرور المخزّنة دون تشفير قد تم كشفها خارج الشركة أو أنها تعرضت لإساءة الاستخدام داخلياً.

ونتيجةً لذلك، لن يُطلب من المستخدمين إعادة تعيين كلمات المرور الخاصة بهم، حيث أثرت المشكلة على مئات الملايين من مستخدمي تطبيق Facebook Lite، وعشرات الملايين من مستخدمي تطبيق فيسبوك الأساسي، وعشرات الآلاف من مستخدمي تطبيق إنستغرام.

وللأسف فإن الخلل الجديد يأتي ليضيف حلقة جديدة من مسلسل الأخطاء والثغرات الأمنية والتسريبات الخطيرة التي بدأت تعاني منها المنصة منذ فترة من الزمن، الأمر الذي عرّضها للكثير من الانتقاد.

مقالات قد تعجبك:

كيفية التحكم بالإعدادات المختلفة في كاميرات كانون Canon

كيفية تصفير عداد استخدام البيانات في ويندوز 10

كيفية استخدام أداة لقطة الشاشة في مايكروسوفت وورد

كيفية ترقيم الصفحات في مايكروسوفت وورد

كيفية تفعيل خطة الأداء الأمثل في ويندوز 10

سويسرا دعت القراصنة لاختراق نظامها الإلكتروني للتصويت

كُتب يوم 13 فبراير، 2019 بواسطة محمد عبد الرحمن بركات

دعت الحكومة السويسرية وبصفة رسمية الشركات والباحثين الأمنيين والقراصنة من حول العالم من أجل محاولة اختراق نظامها الإلكتروني للتصويت وذلك بعد أن يتم تحويله إلى نظام مفتوح أمام الجميع قريباً.

وقالت الحكومة في بيان صحفي:

نرحب بالقراصنة المهتمين من جميع أنحاء العالم لمهاجمة النظام، من خلال القيام بذلك فسوف تساهمون في تحسين أمن النظام الخاص بنا.

سيتم إجراء اختبار الاختراق العام (PIT) بين 25 من شهر شباط الحالي و 2 آذار القادم، وستتوفر مكافآت نقدية تتراوح من 100 دولار إلى 30 ألف دولار بحسب الثغرات المكتشفة ودرجة خطورتها.

ومن المقرر إجراء جلسة تصويت إلكتروني وهمية في اليوم الأخير من فترة الاختبار في 24 آذار، ولكن يمكن للمشاركين مهاجمة نظام التصويت الإلكتروني قبل ذلك أيضاً.

للمشاركة في هذا الاختبار، يتعين على الشركات والباحثين في مجال الأمن الاشتراك مسبقاً قبل بدء جلسة اختبار الاختراق الرسمية.

حيث سيمنح التسجيل للمشاركين الإذن القانوني لمهاجمة النظام الحكومي، وسيضمن أن المكافآت النقدية ستصل لأولئك الذين يقدمون تقريراً عن الثغرات المكتشفة لأول مرة، مع فرض مجموعة من القواعد والقيود على المشاركين.

على سبيل المثال، بعض الأشياء التي لا يسمح للمشاركين في نظام اختبار الاختراق القيام بها هي تنفيذ الهجمات التي قد تضر الجهاز الشخصي للناخبين أو مهاجمة أنظمة غير ذات صلة تابعة للبريد السويسري وهو صانع نظام التصويت الإلكتروني.

سيساعد البريد السويسري في إجراء الاختبار عن طريق تعطيل بعض أنظمة الحماية الأمنية التي عادةً ما تحمي نظام التصويت الإلكتروني، وذلك لتمكين المشاركين من التركيز بشكل كامل على مهاجمة النظام الأساسي.

بالإضافة إلى ذلك، سيسمح البريد السويسري للمشاركين في الاختبار بطلب أكبر عدد ممكن من بطاقات الاقتراع الإلكترونية التي يحتاجونها لإجراء اختباراتهم، مع جعل شيفرة المصدر الخاصة بنظام التصويت الإلكتروني متوفرة للمشاركين في GitLab.

كما واستأجرت السلطات السويسرية أيضاً شركة SCRT SA السويسرية كطرف ثالث مستقل سيتحقق من تقارير الثغرات التي يقدمها المشاركون.

وقررت الحكومة السويسرية إجراء اختبارات اختراق عامة لنظام التصويت الإلكتروني لديها لتعزيز الثقة بأن هذه الأنظمة آمنة، وقالت الحكومة إن نظام التصويت الإلكتروني اجتاز بالفعل أكثر من 300 جلسة اختبار خاصة.

في حين قال المسؤولون أن التصويت الإلكتروني سيسهل على المواطنين السويسريين الذين يعيشون في الخارج المشاركة في عمليات التصويت التي يتم إجراؤها داخل البلاد.

مقالات قد تعجبك:

ما هي أجهزة كشف و إنذار الدخان والحرائق

إزالة الأشخاص من الصور بسهولة باستخدام برنامج الفوتوشوب

كيفيّة استرجاع كلمة مرور حساب Steam في حالة نسيانها

ما هو خطأ 503 Service Unavailable؟ وكيف يمكن إصلاحه؟

كيفيّة التقاط صور أفضل باستخدام وضع التتابع Burst Mode

مبرمج استغل ثغرة في نظام بنك صيني وسرق مليون دولار

كُتب يوم 11 فبراير، 2019 بواسطة محمد عبد الرحمن بركات

هل شاهدت يوماً ما مشهداً سينمائياً لأحد المبرمجين المحترفين وهو يجبر الصرافات الآلية على ضخ آلاف الدولارات بعد عملية اختراق ناجحة؟

حسناً، يبدو أن هذا المشهد تحوّل إلى حقيقة في الصين بحسب ما ذكرت كل من صحيفة The South China Morning Post وصحيفة Daily Economic News المحلية في البلاد.

حيث استطاع Qin Qisheng وهو مبرمج صيني محترف يبلغ من العمر 43 عاماً من سحب ما يزيد عن مليون دولار أمريكي من بنك Huaxia الذي يعمل فيه مستغلاً وجود ثغرة في نظام السحب النقدي.

ووفقاً للتقارير، فإن الثغرة الموجودة في النظام منعت عمليات تسجيل سحب الأموال التي يتم القيام بها في منتصف الليل تقريباً.

حيث كان من المفترض أن تؤدي عمليات السحب إلى إرسال تنبيه عاجل بأن عملية السحب قد فشلت، لكن بسبب وجود الثغرة في نظام عمل البنك فقد تمكن المبرمج من سحب مبالغ نقدية مختلفة دون أن يعلم أحد.

بدأ المبرمج السارق بسحب الأموال منذ شهر تشرين الثاني من عام 2016 على شكل مبالغ نقدية مختلفة القيمة في كل مرة، وعند اكتشاف أمره مؤخراً اعترف بسرقة ما يزيد عن مليون دولار أمريكي.

ولعل الجزء الأكثر إثارة للدهشة في هذه القصة هو أن البنك الصيني لم يرغب بالاستمرار في محاكمة المبرمج السارق والموظف لديه، حيث طالب الشرطة بإسقاط القضية.

من المحتمل أن إدارة البنك كانت قلقة بشأن تضخم القضية والتسبب بدعاية سيئة لأعمال البنك وأمن نظامه، وقالت الإدارة بأنها قبلت واقتنعت بتبرير المبرمج الصيني.

حيث برّر المبرمج سرقته أثناء التحقيق بأن ما كان يقوم به هو مجرد اختبار لأنظمة الأمان في البنك، وأنه يعتزم إعادة كافة الأموال التي سحبها.

في الحقيقة يبدو هذا التبرير غير مقنعاً أبداً نظراً لأن الأموال المسحوبة كانت تُحوّل إلى حساب المبرمج الصيني الخاص وليس إلى خزينة البنك، كما قام المبرمج باستثمار جزء من هذه الأموال في سوق الأسهم أيضاً.

رفضت المحكمة طلب البنك بإسقاط القضية، ووجهت حكم نهائي على المبرمج الصيني بالسجن لمدة 10 سنوات ونصف بعد أن خسر استئنافه.

مقالات قد تعجبك:

كيفية استعادة المبالغ المدفوعة باستخدام البطاقة الائتمانية

كيفية استعادة الملفات المحذوفة على نظام ماك macOS

كيفية إضافة منافذ USB-C إلى حواسيب ويندوز

كيفية إصلاح صوت الكمبيوتر إذا قام تحديث ويندوز بتعطيله

طرق العمل المشترك المتوفرة بين ويندوز 10 وبين هواتف أندرويد أو آيفون

ثغرة جديدة سببت تجمّد وإعادة تشغيل بعض أجهزة آبل

كُتب يوم 18 سبتمبر، 2018 بواسطة محمد عبد الرحمن بركات

للأسف فإن الثغرات الأمنية ما زالت موجودة حتى الآن في نظام التشغيل iOS الخاص بشركة آبل Apple والذي يُعتبر من أكثر الأنظمة انغلاقاً وحماية.

فبعد ثغرة المحرف الهندي التي تسببت بالكثير من الضجة بداية العام الحالي، والتي اضطرت الشركة لإرسال تحديث عاجل يعمل على سدّها، وبعد ثغرة تجاوز رمز المرور على هواتف الآيفون، ظهرت حديثاً ثغرة جديدة.

هذه الثغرة تم الإعلان عنها من قبل مستخدم تويتر @pwnsdx والذي يعمل كمطور برمجيات، حيث كانت الثغرة عبر صفحة ويب مؤلفة من عدة أسطر تحتوي تعليمات برمجية بلغتي HTML و CSS.

https://twitter.com/pwnsdx/status/1040944750973595649

وقد أرفق مطور البرمجيات المذكور رابطاً لهذه الصفحة، وعندما يقوم مستخدم هاتف الآيفون بالضغط على الرابط وزيارة الصفحة فإن هاتفه سيتجمّد ويتوقف من العمل ومن ثم سيتم إعادة تشغيله.

وقال المطور الذي عمل على إنشاء الصفحة أن بعض أجهزة آيباد اللوحية ستتأثر بتلك الثغرة، كما يمكن أن يتأثر بها بعض أجهزة الحواسيب التي تعمل بنظام MacOS.

تعتمد فكرة الثغرة على حقيقة أن هذا الرابط سيتم فتحه بواسطة المتصفح Safari الذي تفرضه الشركة على جميع أجهزتها الخاصة.

ومن ثم تستفيد الثغرة من نقطة ضعف موجودة في محرك عرض الويب الخاص بحزمة iOS webKit في المتصفح، مما يتسبب بتوقف الهاتف أو الجهاز عن العمل.

وشرح مطور البرمجيات فكرة الثغرة بشكل أكبر، حيث قال أنها تعتمد على إضافة الوسوم مثل <div> بشكل كبير داخل خاصية backdrop-filter في خواص CSS.

مما يؤدي إلى استنزاف جميع موارد الرسوميات وتجمد نظام التشغيل، وبالتالي حدوث عملية إعادة تشغيل لحماية النظام من التضرر.

وقد أكّد المطور أن الثغرة لا يمكن أن تتسبب بأي ضرر لمستخدمي أجهزة ويندوز أو لينكس، ولكنها توثّر على متصفح Safari و تطبيق البريد الإلكتروني في نظام MacOS.

الجدير بالذكر أن تأثير الثغرة يقتصر على تجميد الجهاز ودفعه لإعادة التشغيل، وهو لا يتسبب بأي ضرر كبير أو حصول سرقة لبيانات الهاتف.

وقد اتصل المطور بشركة آبل لإخبارها عن الثغرة، في حين امتنعت الشركة عن التعليق على الموضوع.