ثغرة في تطبيق المسنجر الخاص بفيس بوك يسمح للمتصل بالتجسس على الطرف الآخر

كُتب يوم 20 نوفمبر، 2020 بواسطة سهيل القاسم

قام فيسبوك Facebook بتصحيح ثغرة أمنية في تطبيق مسنجر Messenger الخاص بنظام أندرويد Android.

الثغرة المصححة كانت تسمح لمهاجم عن بُعد بالاتصال بشخص ما عبر المسنجر، والاستماع إليهم دون أن يقوم الطرف الآخر (الضحية) بقبول الاتصال.

وتم اكتشاف الخلل وإبلاغه إلى فيس بوك Facebook بواسطة Natalie Silvanovich من فريق Project Zero Bug-Hunting الخاص بجوجل Google.

وتؤثر هذه الثغرة على الإصدار رقم 284.0.0.16.119 (وما قبله) من Facebook Messenger لنظام الأندرويد Android.

ولبدء الهجوم، سيتعين على المهاجم بدء مكالمة، مع إرسال رسالة غير مرئية مصنوعة خصيصاً وفي نفس الوقت، وسيكون بإمكانهم الاستماع إلى صوت الضحية، حتى إذا لم ترد على المكالمة.

لحسن الحظ ، كانت هذه الثغرة قابلة للاستغلال فقط في ظروف خاصة وتتطلب أدوات محددة، على سبيل المثال، سيحتاج كل من المهاجم والضحية إلى تسجيل الدخول عبر مسنجر Messenger الخاص بنظام أندرويد Android.

بالإضافة إلى ذلك، يحتاج الضحيَّة أيضاً إلى تسجيل الدخول إلى مسنجر Messenger من خلال متصفح الويب، علاوة على ذلك، سيحتاج المهاجم إذناً للاتصال بالضحية، مما يعني أنه يجب أن يكون موجوداً بالفعل في قائمة أصدقاء الضحية.

ولم يكن تطبيق مسنجر هو الوحيد المتأثر، حيث تم اكتشاف ثغرات مشابهة في تطبيقات الاتصال الأخرى مثل Signal و Mocha و JioChat، وقد تم تصحيحها جميعاً.

ضمن نفس السياق فقد أصلحت آبل Apple العام الماضي، الخطأ الذي يسمح لجهات الاتصال الخاصة بك بالتنصت عليك من خلال فيس تايم FaceTime.

من جانبها اعترفت فيسبوك Facebook بهذه الثغرة، وكشفت عن تفاصيل أخرى حولها، حيث قال دان جورفينكل، مدير هندسة الأمن في فيسبوك: “أثناء رنين الجهاز، سيبدأ المتصل في تلقي الصوت إما حتى يتم الاتصال بالرد، أو حتى انتهاء مهلة المكالمة”.

وقالت فيس بوك إنها دفعت 11.7 مليون دولار للباحثين الأمنيين مقابل 6,900 تقرير خطأ مقبول من بين أكثر من 130 ألف تم تقديمها، في الشهر الماضي فقط.

كما كشفت الشبكة الاجتماعية عن برنامج جديد سمته هاكرز بلس Hacker Plus، لتحفيز محققي الأخطاء على اكتشاف نقاط الضعف في منصات Facebook.

مقالات قد تعجبك

جوجل أصدرت نسخة أصلية من متصفحها كروم لحواسب Mac الجديدة

آبل ستخفض عمولة متجرها App Store لمعظم المطورين

أداة جديدة من جوجل تعتمد على الذكاء الاصطناعي تحول خربشاتك إلى وحوش

أسباب وحلول مشاكل الشحن في آيفون وآيباد

كيفية استعادة مفتاح تفعيل ويندوز أو أوفيس بعد ضياعه

شرح لتطبيقات فوتوشوب للهواتف الذكية، وما ميزاتها ؟

جائزة 60 ألف دولار لباحثين اخترقا جهاز Amazon Echo

كُتب يوم 10 نوفمبر، 2019 بواسطة محمد عبد الرحمن بركات

إذا كنت تمتلك المهارة الكافية لاختراق البرمجيات والمواقع والأجهزة الإلكترونية التي تتبع لكبرى الشركات التقنية حول العالم، فربما يتوجب عليك الذهاب إلى مسابقة Pwn2Own.

تُعدّ تلك المسابقة واحدة من أضخم المسابقات التي يهتم بها كل من الباحثين الأمنيين الذين سيلعبون دور المهاجم والشركات التقنية الكبيرة التي تأمل ألا تلعب دور الضحية.

وهي مسابقة تعود بالفائدة الكبيرة على الطرفين، حيث ينال الباحثون الذين يتمكنون من اكتشاف الثغرات الأمنية جوائز مالية ضخمة تُقدّر بعشرات الآلاف من الدولارات.

في حين أن الشركات التقنية المتنافسة يتم تنبيهها إلى ثغرات ومواضع خلل في أجهزتها ومواقعها وتطبيقاتها، تلك الثغرات لم تستطع الشركة اكتشافها في وقت سابق مما يجعل منها تهديداً كامناً.

أحد أبرز الأمثلة على ما سبق هو ما حصل مع الباحثين الأمنيين Amat Cama وRichard Zhu في فريقهما الأمني المشارك في المسابقة المذكورة.

حيث استطاع الباحثان اختراق جهاز شركة أمازون Amazon المنزلي المعروف باسم Amazon Echo Show 5 وهو جهاز مساعد منزلي مزوّد بارتباط مع المساعد الشخصي للشركة أليكسا Alexa.

وفي التفاصيل، اعتمد الباحثان على ثغرة أمنية وصلا إليها من خلال كون الجهاز المذكور يستخدم إصداراً قديماً من نظام Chromium مما سمح لهما بالتحكم الكامل بالجهاز في جال كان متصلاً بشبكة واي فاي قابلة للاختراق.

ويمكن الاستفادة من الثغرة عندما يحدث خطأ تجاوز السعة عندما تحاول عملية رياضية إنشاء رقم ولكن لا يوجد به مساحة في ذاكرتها، مما يؤدي إلى تجاوز العدد خارج ذاكرتها المخصصة، ويمكن أن يكون لها آثار أمنية على الجهاز.

بالنسبة لشركة أمازون المستفيد الأكبر من عملية الاختراق فإنها رفضت الكشف عن الخطوات التي ستقوم بها من أجل حل المشكلة وسد الثغرة.

ولكنها أكّدت بأنها ستقوم بالإجراءات المطلوبة من أجل منع استغلال الثغرة في أجهزتها المنزلية وأكّدت أنها ستعمل على هذا الأمر بشكل دائم.

لم يكن جهاز أمازون المنزلي هو الجهاز الوحيد المتصل بالإنترنت الذي تم اختراقه في المسابقة، ففي وقت سابق تم اختراق جهاز فيسوك Facebook Portal.

وهي شاشة ذكية كانت شركة فيسبوك قد قدّمتها كوسيلة للاتصال بحسابات مواقع التواصل الاجتماعي، وبعد الكشف عن الثغرة الخاصة بها تم إصلاح المشكلة على الفور.

مقالات قد تعجبك:

كيفية ترتيب أيقونات سطح المكتب والمحافظة على تنظيمها

ما هي ميزة حماية المجلدات في ون درايف OneDrive؟ وكيف يمكن تفعيلها؟

كيفية إصلاح مشكلة العين الحمراء في الصور باستخدام الفوتوشوب

هل يمكن إنشاء مخدم ويب Web Server على الشبكة المنزليّة ؟

لم وكيف تؤذي الماء الأجهزة الإلكترونية؟

فيسبوك اعترفت بوجود ثغرة في تطبيق Messenger Kids

كُتب يوم 23 يوليو، 2019 بواسطة محمد عبد الرحمن بركات

يعتمد تطبيق Messenger Kids من شركة فيسبوك Facebook على قاغدة بسيطة: يجب ألا يكون الأطفال المستخدمين للتطبيق قادرين على التحدث مع المستخدمين الذين لم يُوافق عليهم من قبل آبائهم.

لكن على ما يبدو فإن هنالك ثغرة برمجية جديدة مكتشفة في التطبيق ألغت القاعدة السابقة مما جعل التطبيق بأكمله عديم الفائدة، وذلك من خلال السماح للأطفال بمحادثة الغرباء من خلال الدردشات الجماعية.

خلال الأسبوع الماضي، أغلقت فيسبوك بهدوء ميزة الدردشات الجماعية على التطبيق، وأرسلت تنبيهاً إلى حسابات الآباء لإعلامهم أن الميزة قد تم إيقافها على التطبيقات المثبتة على أجهزة أطفالهم.

في التنبيه المرسل، اعترفت الشركة بأنها اكتشفت ثغرة برمجية سمحت للطفل بالدخول في محادثة مع شخص غريب لم تتم الموافقة عليه من قبل والدي الطفل، وذلك من خلال ميزة المحادثات الجماعية.

وقالت الشركة أنها أغلقت الميزة في الوقت الحالي على التطبيق ودعت الآباء إلى زيارة مركز المساعدة والرقابة الأبوية الخاص بتطبيق Messenger Kids.

وقال متحدث باسم الشركة لموقع The Verge أن التنبيه السابق قد تم إرساله إلى آلاف المستخدمين في الأيام الأخيرة، وأكّد المتحدث وجود الثغرة البرمجية لكنه رفض الحديث عن الوقت الذي بقيت فيه الثغرة قابلة للاستغلال وعما إذا كان هنالك أطفال قد تم استغلالهم في محادثات غير مصرح بها.

وقع الخطأ البرمجي في التطبيق بسبب دخول المستخدمين الأطفال إلى المحادثات الجماعية، الأمر الذي سمح بإمكانية بدء محادثة غير مصرح بها، مما يُعد انتهاكاً أساسياً لفكرة التطبيق والهدف الأساسي الخاص به.

ليس من الواضح الوقت الذي بقيت فيه الثغرة موجودة بالفعل على التطبيق، ولكن ميزة المحادثات الجماعية قد وصلت منذ شهر كانون الأول من عام 2017، وبالتالي هنالك احتمال بأن الثغرة موجودة بالفعل منذ ذلك الوقت.

تطبيق Messenger Kids هو تطبيق مخصص للمستخدمين الأطفال الذي تقل أعمارهم عن 13 عاماً، وبالتالي هو يخضع لقانون حماية خصوصية الطفل عبر الإنترنت COPPA.

تأتي هذه المشكلة في وقت حرج بالنسبة لفيسبوك التي تحاول حالياً إغلاق ملف فضيحة جمع البيانات التي أصبحت معروفة باسم فضيحة Cambridge Analytica.

خلال الأيام الماضية، وردت تقارير عن التوصل إلى تسوية لإغلاق ملف الفضيحة من خلال فرض غرامة قياسية على الشركة وصلت إلى 5 مليار دولار من قبل لجنة التجارة الفيدرالية.

وعلى الرغم من الرقم الكبير، إلا أن البعض اعتبر أن طريقة إغلاق الملف تصب في مصلحة فيسبوك حيث لن يمثّل الرقم مشكلة بالنسبة لإيرادات فيسبوك الضخمة مع توجيه انتقادات لعدم محاسبة مارك زوكربيرج الرئيس التنفيذي لفيسبوك بشكل شخصي.

مقالات قد تعجبك:

كيفية فك وتركيب اللوحة الأم في الكمبيوتر

كيف تربح قنوات اليوتيوب المال؟

كيفية تغيير إعدادات DNS على حواسيب ويندوز

كيفية تجميع وتنظيم جميع ألعاب الكمبيوتر داخل برنامج واحد

كيفية تحديد معلومات جهاز أندرويد لتحميل ملفات APK الصحيحة

جوجل خزّنت كلمات مرور بعض حسابات G Suite دون تشفير

كُتب يوم 22 مايو، 2019 بواسطة محمد عبد الرحمن بركات

في منشور جديد على مدونتها، اعترفت شركة جوجل Google مؤخراً بأنها خزّنت كلمات المرور الخاصة ببعض حسابات G Suite بشكل غير مشفّر نتيجة ثغرة أمنية في أنظمة الشركة.

والغريب في الأمر أن هذه الثغرة كانت متواجدة منذ عام 2005 أي منذ 14 عاماً، وعلى الرغم من ذلك فإن الشركة لم تجد دليلاً على أن هنالك إساءة استخدام لكلمات المرور غير المشفّرة.

ويبدو أن تلك الثغرة قد حدثت نتيجة وجود ميزة تمنح مسؤول الشركة الذي يستعمل حزمة G Suite إمكانية تعديل كلمات مرور المستخدمين يدوياً، الأمر الذي تسبب بقيام وحدة تحكم المشرف بتخزين كلمات المرور الجديدة على شكل نص عادي غير مشفّر.

لحسن الحظ فإن تخزين كلمات المرور بشكل غير مشفّر قد جرى خلال هذه المدة الطويلة على خوادم الشركة الداخلية، وبالتالي فإن تلك المعلومات كانت غير قابلة للوصول من خارج الشركة على الإنترنت.

ومع ذلك، فقد واجهت الشركة خلال تلك السنوات مخاطرة كبيرة بتسريب هذه الكلمات من داخل الخوادم أو حدوث هجوم أمني كبير يؤدي إلى الوصول لتلك الكلمات بشكلها غير المشفّر.

ولم تكن جوجل الشركة الوحيدة التي عانت من مشكلة تخزين كلمات المرور بشكل غير مشفر نتيجة حدوث خطأ أو ثغرة، فقد نصحت شبكة تويتر Twitter في آذار العام الماضي جميع مستخدميها البالغ عددهم 330 مليون بتغيير كلمات المرور.

وكان السبب في ذلك هو ثغرة أمنية سبّبت تخزين كلمات المرور المستخدمين بشكل غير مشفر، لتعود نفس المشكلة للظهور بعد عام كامل في فيسبوك Facebook عندما تبيّن أن كلمات مرور المستخدمين تم تخزينها دون تشفير.

وبعد أسابيع قليلة من فضيحة فيسبوك، تبيّن أن شبكة إنستغرام Instagram قد تأثرت بما حدث مع فيسبوك، وكانت كلمات مرور مستخدميها تعاني من نفس المشكلة.

من جانبها، لم تحدد جوجل عدد المستخدمين الذين ربما تأثروا بهذا الخطأ إلى جانب تأكيد الشركة بأن التأثير كان على مجموعة فرعية من عملاء G Suite، لكن هذه المجموعة قد تضمّ أي مستخدم للحزمة منذ عام 2005.

تم إصلاح المشكلة في الوقت الحالي وقدّمت جوجل اعتذارها في بيانها الأخير، حيث قالت:

نحن نأخذ أمن عملائنا في المؤسسة على محمل الجد، ونفخر بتقديم أفضل الممارسات في هذا المجال لأمن الحساب، لكن هنا لم نلتزم بمعاييرنا الخاصة ولا بمعايير عملائنا، نعتذر لمستخدمينا وسوف نفعل ما هو أفضل.

مقالات قد تعجبك:

ما هو Sketchup؟ وكيف يتم استخدامه؟

كيفية تضمين فيديو يوتيوب في العرض التقديمي بور بوينت

ما هي تقنية بلوتوث 5.1 الجديدة ؟ و ما ميزاتها ؟

ما هي ميزة التخزين المحسّن في أجهزة ماك؟و كيف يمكن الاستفادة منها ؟

كيفية وصل سماعات AirPods مع كمبيوتر ويندوز أو ماك أو مع هواتف أندرويد أو آيفون

ثغرة في واتساب سمحت بتثبيت برامج تجسس بكل سهولة

كُتب يوم 14 مايو، 2019 بواسطة محمد عبد الرحمن بركات

تم مؤخراً اكتشاف ثغرة أمنية هي الأخطر من نوعها على برنامج التراسل الشهير واتساب WhatsApp حيث سمحت تلك الثغرة للمهاجمين بتثبيت برامج تجسس متقدمة في هاتف الضحية بكل سهولة.

وبحسب تقارير صحيفة The Financial Times فإن الثغرة كانت قادرة على التأثير في كل من هواتف الأندرويد و iOS وكل ما يحتاجه المهاجم هو إجراء مكالمة صوتية على واتساب لهاتف الضحية.

بمجرد الاتصال بالهاتف، يمكن للمهاجم تثبيت برامج التجسس التي طورتها مجموعة NSO السرية بدون أي أثر ودون الحاجة أساساً لأن يقوم الضحية بالرد على المكالمة.

بمجرد التثبيت، يمكن لبرامج التجسس تشغيل كاميرا الهاتف والميكروفون ومسح رسائل البريد الإلكتروني والرسائل وجمع بيانات موقع المستخدم.

وبعد اكتشاف الثغرة وإصلاحها، شجّعت الشركة مستخدميها الذين يبلغ عددهم 1.5 مليار مستخدم على تحديث التطبيق بأسرع وقت ممكن، ونشرت بيان قالت فيه:

نحن نشجّع الناس على الترقية إلى أحدث إصدار من تطبيقنا، وكذلك الحفاظ على تحديث نظام التشغيل الخاص بهم للحماية من عمليات الاستهداف المحتملة والمصممة لسرقة المعلومات المخزنة على الأجهزة المحمولة.

تم اكتشاف الثغرة في أوائل شهر أيار الحالي، ولكن بالطبع لم يتم الحديث عنها بشكل علني إلا بعد أن قامت الشركة بإصلاح المشكلة، حيث استغرق العمل حوالي 10 أيام.

قالت مجموعة NSO أنها باعت برامج التجسس السرية والمعروفة باسم Pegasus للحكومات ووكالات إنفاذ القانون للمساعدة في مكافحة الإرهاب والجريمة، على الرغم من استخدام هذه البرامج سابقاً لأهداف أخرى.

حيث يدعي الباحثون أن برامج التجسس القوية التابعة لـ NSO قد تم استخدامها من قبل ما يصل إلى 45 دولة للمساعدة في اضطهاد الصحفيين أو بعض المدنيين المطلوبين.

لتحديث التطبيق المثبت على جهازك، انتقل إلى صفحة التطبيق على متجر جوجل لهواتف الأندرويد من هنا، أو لصفحة التطبيق على متجر آبل لهواتف الآيفون من هنا، ثم اضغط على زر التحديث.

مقالات قد تعجبك:

كيف يمكن لأحد ما أن يسرق رقم هاتف محمول واستخدامه لسرقة الحسابات البنكية وحسابات المواقع

نظام Usenet البديل الأفضل للتورينت، ما هو؟ وكيف يستخدم؟

ما هي حواسيب كروم بوك Chromebook المحمولة من جوجل؟ وما ميزاتها؟

كيفية مسح سجل التصفح في كروم وسفاري وفايرفوكس وإيدج وإكسبلورر

ما هو خطأ 403 Forbidden؟ وكيف يمكن إصلاحه؟

فيسبوك اعترفت بحفظ كلمات مرور المستخدمين بشكل غير مشفر

كُتب يوم 22 مارس، 2019 بواسطة محمد عبد الرحمن بركات

قامت شبكة ومنصة فيسبوك Facebook للتواصل الاجتماعي بتخزين كلمات المرور الخاصة بمئات الملايين من المستخدمين على شكل نص غير مشفّر نتيجة حدوث خلل برمجي.

حيث عادةً ما يتم تخزين كلمات المرور والمعلومات الحساسة بطريقة تشفير تدعى Hashing ولكن سلسلة من الأخطاء البرمجية في تطبيقات فيسبوك تركت مئات ملايين كلمات المرور غير مشفّرة.

لحسن الحظ فإن كلمات المرور هذه كانت غير قابلة للوصول من خارج الشركة، ولكن في نفس الوقت كانت متاحة لآلاف الموظفين المتواجدين في فيسبوك، الأمر الذي عرّضها لخطر التسريب.

ويُعتقد أن ما بين 200 مليون و 600 مليون مستخدم على فيسبوك قد تأثروا بالخلل الأخير، حيث اعترفت فيسبوك بوجود المشكلة في منشور على مدونتها بعنوان الحفاظ على كلمات المرور آمنة.

وقالت الشركة أن إدارة فيسبوك استطاعت كشف المشكلة في شهر كانون الثاني الماضي أثناء قيامها بمراجعة أمنية، كما أكّدت فيسبوك أن المشكلة تم إصلاحها وسيتم إعلام المستخدمين المتأثرين.

وفقاً لفيسبوك، لا يوجد دليل على أن كلمات مرور المخزّنة دون تشفير قد تم كشفها خارج الشركة أو أنها تعرضت لإساءة الاستخدام داخلياً.

ونتيجةً لذلك، لن يُطلب من المستخدمين إعادة تعيين كلمات المرور الخاصة بهم، حيث أثرت المشكلة على مئات الملايين من مستخدمي تطبيق Facebook Lite، وعشرات الملايين من مستخدمي تطبيق فيسبوك الأساسي، وعشرات الآلاف من مستخدمي تطبيق إنستغرام.

وللأسف فإن الخلل الجديد يأتي ليضيف حلقة جديدة من مسلسل الأخطاء والثغرات الأمنية والتسريبات الخطيرة التي بدأت تعاني منها المنصة منذ فترة من الزمن، الأمر الذي عرّضها للكثير من الانتقاد.

مقالات قد تعجبك:

كيفية التحكم بالإعدادات المختلفة في كاميرات كانون Canon

كيفية تصفير عداد استخدام البيانات في ويندوز 10

كيفية استخدام أداة لقطة الشاشة في مايكروسوفت وورد

كيفية ترقيم الصفحات في مايكروسوفت وورد

كيفية تفعيل خطة الأداء الأمثل في ويندوز 10

ثغرة في فيسبوك مسنجر سمحت بمعرفة جهات اتصال المستخدم

كُتب يوم 8 مارس، 2019 بواسطة محمد عبد الرحمن بركات

تحدثت عدة تقارير عن ثغرة خطيرة في تطبيق التراسل الخاص بشبكة فيسبوك Facebook والمعروف لدى الجميع باسم فيسبوك مسنجر Messenger.

الغريب في القصة أن اكتشاف الثغرة لم يكن حديثاً، بل كان قبل عام تقريباً، لكن المشكلة ما زال تأثيرها مستمراً إلى الآن دون التوصل لحل.

سمحت هذه الثغرة للمتسللين بمعرفة جهات الاتصال التي كان يتحدث معها المستخدم الضحية، لكن محتوى الرسائل المتبادلة بين الطرفين لم يكن من الممكن الوصول إليها.

اكتشاف الثغرة كان من قبل مجموعة الأمن المعلوماتي Imperva والتي أرسلت إلى فيسبوك تقريراً عن الثغرة المكتشفة ليتم إصلاحها في شهر تشرين الثاني الماضي.

عادت هذه الثغرة للظهور مجدداً بطريقة أخرى، حيث يتطلب استهداف المستخدم الضحية أن يدخل المستخدم إلى موقع ويب مع برمجيات خبيثة مضرة معدّة سابقاً من متصفح كروم Chrome أثناء تسجيل دخوله على حسابه الشخصي على فيسبوك.

تسمح هذه الثغرة للمهاجمين بالكشف عن قائمة جهات الاتصال الخاصة بالضحية، كما يمكن الكشف عن الأسماء التي تم تبادل الرسائل معها مؤخراً، لكنها لم تسمح بالكشف عن محتوى المحادثات.

عندما تم الكشف عن الثغرة للمرة الأولى استجابت فيسبوك للتقرير وحاولت إصلاح المشكلة، لكن بحسب تقرير مجموعة الأمن المعلوماتي المذكورة فإن المشكلة ما زالت متواجدة وما زال بإمكان المهاجمين الاستفادة منها.

على مدى السنوات القليلة الماضية، تم توجيه عشرات الانتقادات الخاصة بشبكة فيسبوك بسبب مواضيع متعلقة بالخصوصية وحماية بيانات المستخدمين والثغرات الأمنية.

وفي الوقت الذي تعهّد فيه الرئيس التنفيذي للشبكة مارك زوكربيرج بتغيير مستقبل فيسبوك للتركيز بشكل أكبر على الخصوصية، تأتي هذه الأخبار لتكشف عن مدى سوء الوضع الحالي في الشبكة وتدهورها المستمر.

مقالات قد تعجبك:

ما هو معدل تحديث الشاشة؟ وكيف يتم تغييره؟

كيفية استخدام ميزة التصفح المتخفي الجديدة في يوتيوب

كيفية استخدام أندرويد دون شركته الأم غوغل

الطريقة الصحيحة للف كابلات الشحن والبيانات لمنع تضررها

لما جودة الصوت في هواتف آيفون أفضل من هواتف أندرويد؟

آبل أرسلت تحديث iOS 12.1.4 لإغلاق ثغرة FaceTime

كُتب يوم 8 فبراير، 2019 بواسطة محمد عبد الرحمن بركات

أطلقت شركة آبل Apple يوم الأمس التحديث رقم 12.1.4 من نظام التشغيل iOS لإصلاح ثغرة أمنية تم الكشف عنها مؤخراً في ميزة المكالمات الجماعية في تطبيق FaceTime.

حيث سمحت هذه الثغرة لأي شخص عند الاتصال بشخص آخر بتشغيل ميكروفون هاتف المتلقّي قبل أن يوافق على إنشاء المكالمة.

نجحت الشركة الآن في إصلاح هذا الخلل، حيث اتخذت آبل اجراء عاجل سابقاً عندما قامت بتعطيل ميزة Group FaceTime على جانب الخادم لمنع الأشخاص من استغلال هذا الخلل.

وعلى ما يبدو وبحسب تقارير مختلفة، فإن الإبلاغ عن هذه المشكلة قد بدأ منذ بضعة أسابيع، لكن الشركة كانت بطيئة في الاستجابة من خلال القنوات الرسمية.

لا يزال من غير الواضح كم هي المدة التي بقي فيها الخلل قابلاً للاستغلال في نظام التشغيل iOS 12، مع الأخذ في الاعتبار أن ميزة Group FaceTime قد تم تقديمها قبل ثلاثة أشهر باستخدام تحديث iOS 12.1.

وفي حين وعدت شركة آبل بإصدار حل للمشكلة في الأسبوع الماضي، فقد أخّرت التحديث حتى يوم الأمس، حيث تلتزم الشركة الآن بتحسين كيفية التعامل مع تقارير الأخطاء في المستقبل، لتجنب المواقف التي قد يتم تجاهل تقارير الأخطاء فيها.

والجدير بالذكر أن الشركة تعمل في الوقت الحالي على تحديث iOS 12.2، والذي يتضمن عدداً من الميزات مثل رموز تعبيرية جديدة كالزرافة وسمك القرش وألبوم Animoji جديد.

مقالات قد تعجبك:

ما هي ميزة مدّة استخدام الجهاز Screen Time في الآيفون أو الآيباد ؟

كيفية حذف الصور السابقة لحسابات المستخدمين في ويندوز 10

كيفية إنشاء صفحة غلاف مخصصة في وورد

كيفية تعطيل لوحة لمس الكمبيوتر عند وصل ماوس خارجي

ماذا تفعل أزرار الوظائف في مايكروسوفت إكسل

ثغرة جديدة في فيسبوك كشفت صور المستخدمين لأطراف خارجية

كُتب يوم 15 ديسمبر، 2018 بواسطة محمد عبد الرحمن بركات

كشفت شركة فيسبوك Facebook عن وجود ثغرة أمنية في نظامها سمحت بعرض صور خاصة تابعة لحوالي 6.8 مليون مستخدم إلى تطبيقات خارجية لم يُعطى لها الإذن بالوصول إلى تلك الصور من قبل المستخدم.

لكن الثغرة الأمنية التي اكتشفتها فيسبوك من تلقاء نفسها كانت تعطي الصلاحية لمطوري التطبيقات الخارجية بالوصول إلى تلك الصور.

شملت تلك الصور المكشوفة صوراً من قصص الأشخاص بالإضافة إلى صور تم تحميلها من المستخدمين ولكن لم يتم نشرها، وذلك لأن فيسبوك قام بحفظ نسخة منها.

أثرت الثغرة على المستخدمين في الفترة الواقعة بين 12 و 25 أيلول الماضي، حيث قالت الشركة لموقع TechCrunch أنها اكتشفت الخطأ في اليوم 25 من ذلك الشهر لكن لا نعرف لماذا انتظرت كل هذه الفترة حتى تم الإعلان عن الثغرة.

أكّدت فيسبوك أن المستخدمين المتأثرين سيتلقون إشعاراً ينبههم إلى احتمال تعرض صورهم لكشف غير مصرح به، كما وقالت الشركة أيضاً أنها ستعمل مع المطورين لحذف نسخ من الصور التي لم يكن من المفترض الوصول إليها.

في المجمل، قد يصل عدد التطبيقات التي استفادت من الثغرة الأخيرة إلى 1500 تطبيق من 876 مطوّر مختلف، وكان بإمكانهم جميعاً الوصول إلى الصور الخاصة بالمستخدمين.

اعتذرت الشركة عن هذا الخطأ الأمني الجديد وقالت أنه وقع نتيجة حصول خلل ما في نظام تسجيل الدخول الخاص بالتطبيقات الخارجية التي تعتمد على حسابات فيسبوك للمستخدمين.

ويبدو أن تلك الثغرة تمثّل الفضيحة الثانية للشركة خلال عام 2018 فيما يتعلق بصلاحيات المطورين، حيث كانت الفضيحة الأولى أثقل وأكثر خطورة وتمثّلت بجمع بيانات المستخدمين من قبل أطراف خارجية وبيعها إلى جهات مختلفة.

الأمر الذي يكشف عن ضعف التواصل بين فريق فيسبوك وفريق المطورين الخاص بتطبيقات الطرف الثالث، ويكشف كذلك عن الوضع السيء للشبكة الاجتماعية الأضخم في العالم وعن قدرتها الضعيفة على حماية خصوصية مستخدميها.

ولكي نكون منصفين، فإن فيسبوك ليست وحيدة في دائرة الفضائح من هذا النوع، بل أن شركة عملاقة أخرى بحجم جوجل Google كانت قد اضطرت سابقاً لإعلان وفاة شبكة Google+ بعد الكشف عن فضيحة مماثلة ثم عن فضيحة بيانات أخرى خلال نفس الفترة.

مقالات قد تعجبك:

لماذا تبدو الصور على فيسبوك سيئة؟ وكيفية تحسينها

كيفية إنشاء صورة مثالية لغلاف فيسبوك

تنبيه: أصبح من السهل جداً شراء حسابات فيسبوك مزيفة

ما هي الملفات الاختبارية ؟ ولمَ عليك أن تتعرّف عليها؟

حل مشكلة عدم إقلاع حواسيب ويندوز

ثغرة في إنستغرام سبّبت عرض كلمة مرور حسابات المستخدمين

كُتب يوم 18 نوفمبر، 2018 بواسطة محمد عبد الرحمن بركات

قامت شبكة إنستغرام Instagram بإرسال إشعار إلى بعض المستخدمين لإعلامهم بأن كلمة المرور الخاصة بهم ربما قد تعرضت للكشف بسبب ثغرة أمنية جديدة.

ووفقاً للمعلومات التي نشرها موقع Engadget فقد قال متحدث باسم الشركة أن هذه القضية اكتُشفت داخلياً وأثرت على عدد قليل جداً من مستخدمي التطبيق.

في هذه الحالة، كان الخطأ مرتبطاً بميزة نشرتها الشركة في شهر نيسان تتيح للمستخدمين تنزيل جميع بياناتهم، والتي تم تنفيذها بعد نشر المشرعين الأوروبيين لقانون حماية خصوصية البيانات (GDPR).

ووفقاً لشركة إنستغرام فإن بعض المستخدمين الذين استخدموا هذه الميزة كانت كلمات مرورهم مدرجة في عنوان URL في متصفح الويب الخاص بهم، حيث تم تخزين كلمات المرور على خوادم فيسبوك Facebook الشركة الأم لإنستغرام.

في حين شكك أحد الباحثين الأمنيين بهذه المعلومات وقال أن هذه الثغرة لن تكون ممكنة إلا إذا كانت إنستغرام قد قامت بتخزين كلمات المرور الخاصة بالمستخدمين ضمن نص عادي دون تشفير.

هذا الأمر في حال كان صحيحاً فإنه يمثّل واحدة من أكبر الفضائح الأمنية المتعلقة بالشركة، لكن متحدث باسم إنستغرام عارض هذا الكلام وقال أن الشركة تقوم باتباع خوارزميات تشفير معقدة لحماية كلمات المرور.

كما وقالت الشركة أنها قامت بإصلاح الخطأ الأمني الخطير بحيث لم تعد كلمات المرور تُعرض عند استخدام الميزة، أما بالنسبة للمستخدمين المتضررين فقد وصلتهم رسالة تنبيه من الشركة تنصحهم بالقيام بعملية تغيير كلمة مرور حسابهم كإجراء احترازي.

وشرح متحدث باسم الشركة المشكلة التي سببتها الثغرة المكتشفة في تصريح خاص لموقع The Verge وقال أن بعض المستخدمين الذين قاموا باستخدام ميزة تحميل البيانات وعند إرسالهم لمعلومات تسجيل الدخول الخاصة بهم، ظهرت كلمة مرور حساباتهم في عنوان URL الخاص بالصفحة.

ويؤكّد المتحدث باسم الشركة أن المشكلة اقتصرت فقط على ظهور كلمة المرور بشكل غير مشفر ضمن عنوان الصفحة، ولم يتم إرسالها أو عرضها لأشخاص آخرين.

لكن في الحقيقة فإن ظهور كلمة المرور بهذا الشكل غير المشفر قد يساعد بعض المهاجمين على الحصول على كلمة مرور المستخدم في حال كانوا يعلمون بأمر الثغرة.

ولحسن الحظ فإن الثغرة الأمنية قد تم اكتشافها داخل الشركة، ولم يتم الإفصاح عنها إلا بعد إصلاح المشكلة والقيام بعملية تحديث للميزة تضمن عدم إظهار بيانات تسجيل الدخول السرية في العنوان.

بجميع الأحوال فإن الثغرة الجديدة ليست إلا حلقة في مسلسل الثغرات الذي امتد طوال العام الحالي وتسبب بالكثير من الضرر لسمعة شركة فيسبوك الأم.

وهنا نتذكر الثغرة التي أثرت على ملايين من مستخدمي شبكة فيسبوك والتي كانت أيضاً بسبب ميزة خاصة بالحساب، وهي ميزة View As التي تسمح للمستخدمين بمعاينة صفحاتهم الشخصية كما يراها الآخرون.

وهنا يتجدد السؤال الذي وجهه سابقاً الكثير من التقنيين والمستخدمين للشركة: إلى متى سيستمر مسلسل الثغرات الأمنية؟!