سرقة 400 مليون دولار من منصة يابانية للعملات الرقمية

أعلنت منصة Coincheck اليابانية وهي واحدة من أكبر منصات تداول العملات الرقمية في اليابان، عن خسارة تُقدّر بـ 400 مليون دولار أمريكي نتيجة خرق أمني كبير، حيث قامت المنصة بإيقاف كامل لعمليات بيع وشراء العملة الرقمية NEM بعد ورود عدة تقارير كشفت عن عمليات سرقة 500 مليون وحدة من هذه العملة الرقمية دون تفاصيل عن ما يمكن أن تكون واحدة من أكبر عمليات السرقة في عالم العملات الرقمية.

ومنذ ذلك الحين قامت الشركة بتعليق عمليات السحب والإيداع في المنصة، وهي تعمل الآن على التحقيق في الأمر محاولةً تتبع مكان الكم الهائل من العملات الرقمية المسروقة.

وأوضح مسؤولون في المنصة أنهم يدرسون في الوقت الحالي إمكانية تعويض المتعاملين الذين خسروا عملاتهم خلال عملية السرقة.

عملة الـ NEM هي عملة رقمية شبيهة بالبيتكوين، وهي العملة الثامنة من حيث القيمة من العملات الرقمية التي يتم التداول بها على المنصة، وتُستخدم بشكل أساسي في عمليات الدفع الإلكتروني وعدة خدمات مالية أخرى.

عملية السرقة هذه تذكّرنا بأزمة Mt Gox عام 2014 عندما قام لصوص بعملية اختراق كبيرة تسببت بخسارة مماثلة بالرقم حوالي 400 مليون دولار من خلال سرقة العملة الرقمية البيتكوين، مما أدى لاحقاً إلى حالة إفلاس في المنصة اليابانية المخصصة للتداول بالعملات الرقمية، لكن وضع الاقتصاد الرقمي مع العملات الرقمية لا شك أنه تغيّر كثيراً بعد 4 سنوات، لذلك نأمل أن الإفلاس الذي أصاب Mt Gox لن يتكرر اليوم.

 

مقالات قد تعجبك:
لصوص العملة الرقمية Ethereum يستهدفون مستخدمي الأندرويد
ضربة لعملة البيتكوين من كوريا الجنوبية قد تأثر عليها
المغني 50Cent يجني 8 مليون دولار من البيتكوين بالمصادفة
البيتكوين تخسر 50% من إجمالي ذروة نجاحها
احمي هاتفك من التعدين الخفي مع متصفح Opera الجديد

ثغرة أمنية في برنامج بصمات الأصابع لأجهزة Lenovo

قالت شركة Lenovo أن ثغرة أمنية في المخدم الخاص بتطبيق مدير بصمات الأصابع Fingerprint Manager Pro بنسخته version 8.01.86 تسبّبت بالسماح للمهاجمين بإمكانية الوصول إلى أي نظام تم تجهيزه بهذا التطبيق، علماً أن وظيفة التطبيق هو السماح للمستخدمين بفك قفل أجهزتهم الخاصة من خلال التعرف على بصمة الإصبع.

وفي تقرير خاص حول الحادثة جاء فيه: البيانات الحساسة المخزنة في تطبيق Fingerprint Manager Pro والتي تتضمن معلومات تسجيل الدخول إلى Windows بالإضافة إلى بيانات خاصة ببصمات الأصابع، تم تشفيرها بخوارزميات تشفير ضعيفة! مع العلم أن الخلل الأمني تم اكتشافه من قبل الباحث Jackson Thuraisamy.

ولمن لا يعرف الكثير عن برنامج Fingerprint Manager فهو البرنامج الذي يسمح للمستخدمين باستعمال بصمات اصابعهم للدخول إلى أجهزة Lenovo الخاصة بهم، علماً أن البرنامج المتضرر بالثغرة الأمنية يمكن تنصيبه على الأجهزة التي تعمل بأنظمة Windows 7 و 8 و 8.1

ووفقاً للتفاصيل المعروضة من موقع الشركة الرسمي، هذه هي القائمة الكاملة للأجهزة المتوافقة مع برنامج Fingerprint Manager :

ThinkPad L560

ThinkPad P40 Yoga, P50s

ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560

ThinkPad W540, W541, W550s

ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)

ThinkPad X240, X240s, X250, X260

ThinkPad Yoga 14 (20FY), Yoga 460

ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z

ThinkStation E32, P300, P500, P700, P900

ننصح جميع المستخدمين الذين يملكون النسخة المتضررة من برنامج التحقق الأمني بالمسارعة إلى التحديث الفوري للنسخة رقم 8.01.87 وذلك من هنا.

تجدر الإشارة إلى أن هذا الخلل الأمني في برنامج التحقق ببصمات الأصابع لم يكن الحادثة الأولى من نوعها في شركة Lenovo إذ سبق وتعرّض موقع الرسمي للشركة إلى عملية اختراق من قبل عدة مهاجمين عام 2015، لذلك نأمل أن تكون حادثة Fingerprint Manager هي الأخيرة!

https://www.youtube.com/watch?v=JRA34PzvANg

مقالات قد تعجبك:
ثغرة برمجية تسبب تجمّد هواتف آيفون ما الحل ؟
موقع LinkedIn تجاهل باحث فلسطيني قد اكتشف ثغرة في الموقع
تفاصيل محاولة اختراق موقع OnePlus الرسمي وسرقة البيانات البنكية للزبائن
أوبر متهمة باختراق منافسيها والتجسس على السياسيين وتوظيف محتجين مزيفين
هواتف OnePlus تحوي ثغرة أمنية مضمنة في النظام

ثغرتان خطيرتان تؤثران على جميع المعالجات والأجهزة

شائعات وأخبار كثيرة غزت عالم التكنولوجيا طيلة أيام الأسبوع الفائت عن وجود عيب كارثي محتمل في جيل كامل من المعالجات، رغم محاولات التعتيم والتكتم الإعلامي إلا أن بعض الحقائق كان لا بدّ أن تظهر وتكشف عن مدى خطورة هذا الأمر.

ذكرت كل من صحيفة نيوروك تايمز وموقع ZdNet المتخصص بأخبار التكنولوجيا بأن ثغرتين خطيرتين يشكلان تهديداً لأمن المعلومات الخاص بأجهزة المستخدمين المختلفة، أطلق عليهما اسم Meltdown و Spectre .

تمكّن هاتين الثغرتين قراصنة المعلومات (الهاكرز) من اختراق أي جهاز تم تصنيعه في آخر عشرين سنة، حيث يستطيع المتسلل الوصول إلى البيانات التي تعالجها المعالجات من كلمات مرور إلى صور شخصية أو وثائق هامة.

قام باحثون بإنشاء موقع على الانترنت لذكر تفاصيل أكثر عن الثغرتين MeltdownAttack.com، يجيب الموقع على أسئلة المستخدمين الكثيرة حول الموضوع،

ومن أهم هذه الأسئلة : “هل أنا عرضة للإصابة بالقرصنة عن طريق هذه الثغرة ؟” والجواب حسب الموقع : “نعم بالتأكيد” ،

ذكر الباحثون أيضاً أن هناك إصلاحات قادمة لكل من أنظمة ( Windows-Linux-MacOS) لتفادي ثغرة Meltdown، أما بشأن الثغرة الأخرى Spectre فإنها على الرغم من صعوبة تنفيذها من قبل القراصنة إلا أن إصلاحها لن يكون سهلاً وسيحتاج مزيداً من الوقت.

معالجات Intel كانت محور الأبحاث والتقارير الأولية بوجود الثغرة، إلا أنه من غير الواضح تمامً إن كانت معالجات أخرى عرضة للخطر أيضاً . لكن الأمور المخفية تظهر للعلن والشركات تخرج عن صمتها وتعترف .

حيث ذكرت Intel “أن العديد من أنظمة التشغيل والمعالجات المنافسة عرضة لهذا الهجوم عن طريق نفس الثغرات”، فيما نفت AMD احتمالية تأثر معالجاتها بهذا الخطر، على الرغم من أن باحثي غوغل كانوا قد سجلوا هجوماً ناجحاً على معالج AMD FX. و معالج PRO .

من جهة أخرى أكدت ARM -الخاصة بمعالجات أجهزة الهواتف المحمولة- إصابة معالجها Cortex-A عن طريق نفس الثغرة.

وكشف فريق عمل مشروع Project Zero الأمني في شركة غوغل عن تفاصيل تؤكد أن كل من نظامي التشغيل أندرويد و Chrome OS يتأثران بالمشكلة إلا أن استغلال هذه الثغرة على أجهزة أندرويد سيكون صعباً ومحدوداً، بينما التحديث الجديد لنظام Chrome OS والمقرر الكشف عنه في 23 من يناير الجاري سيقلّص فرص الهجوم وسيتيح ميزة (عزل الموقع) والتي ستؤمن بدورها مزيداً من الحماية.

أصدرت شركة مايكروسوفت بدورها تحديثاً طارئاً وسريعاً يحتوي على إصلاحات للأجهزة التي تعمل بنظام Windows 10، كما ذكرت عدة شائعات أن إصلاحات أجهزة Mac تم نشرها مع إصدار 10.13.2، ولكن مدى تأثير هذه الإصلاحات لا يزال غير واضح.

بعد يوم من الصمت حول الموضوع ، أكدت شركة آبل أن أجهزتها العاملة بنظام ماك Mac و iOS مصابة بالثغرتان .

تأثير هذه الإصلاحات على قوة وأداء المعالج لا يزال مجهولاً، إلا أن بعض التقديرات لاختبارات أجريت على معالجات تعمل بنظام Linux تراوحت حتى سبعة عشر بالمئة، وعلى الرغم من ذلك فإن اختبارات   للتطبيقات الأخرى اظهرت تأثيراً قليل نسبياً، لكن التأثير الأولي يبدو كبيراً نتيجة للتباطئ الحاصل والذي يكون معتمداً بشكلٍ كبير على عبء العمل المحمّل على الجهاز.

للبقاء على آخر التطورات بهذا الشأن، ولحماية جهازك من القرصنة يمكنك متابعة المقالات القادمة على موقعنا الالكتروني والتي سنرصد فيها كل المستجدات المتعلقة بهذا الأمر .

بعض إعلانات المواقع تستغل كلمات المرور المحفوظة في المتصفح

تظهر الأبحاث طريقة جديدة مثيرة للقلق لتتبع مستخدمي الويب ، كل متصفح ويب تقريباً يأتي الآن مع أداة مدير كلمات المرور, نسخة خفيفة من نفس الخدمة التي تقدمها الأضافات مثل (Password1) و (LastPass).

ولكن وفقاً لأبحاث جديدة من مركز برينستون لسياسة تكنولوجيا المعلومات, يتم استغلال هذه الأدوات كوسيلة لتتبع المستخدمين من موقع لآخر .

كما فحص الباحثون اثنين من البرامج النصية المختلفة – (AdThink) و (OnAudience) – فكلاهما مصمم للحصول على معلومات يمكن التعرف عليها من مديري كلمات المرور المستندة لمتصفح.

وتعمل تلك البرمجيات عن طريق إدخال نماذج تسجيل دخول غير مرئية في خلفية صفحة الويب وسحب ما تم إدخاله تلقائياً من قبل المتصفح في الفتحات الفارغة.

يمكن بعد ذلك استخدام هذه المعلومات كهوية مستمرة لتتبع المستخدمين من صفحة إلى أخرى , وهي أداة يمكن أن تكون قيمة في استهداف الإعلانات.

وتركز الإضافات الى حد كبير على أسماء المستخدمين, لكن وفقاً للباحثين لا يوجد أي إجراء تقني لأيقاف البرمجيات النصية من جمع كلمات المرور بنفس الطريقة.

الحل السليم الوحيد سيكون تغيير كيفية عمل مدراء كلمات المرور, مما يتطلب موافقة صريحة قبل أدخال المعلومات.
يقول آرفيند نارايانان, وهو أستاذ في علوم الكمبيوتر في جامعة برينستون, ومن العاملين في المشروع “لن يكون من السهل إصلاحه, ولكنه يستحق القيام به”.


في حالة (AdThink) كانت تلك المعلومات تسرب أيضاً إلى (Axciom), وسيط ضخم لبيانات المستهلك, لتضاف فرضاً الى الملف النامي لكل من كان يزور الموقع.

(AudienceInsights) مشغل (AdThink) يتيح للمستخدمين رؤية هوية المستخدم الفريدة للنظام ومحاولة تعطيله, على الرغم أنه من غير الواضح مدى قوة التعطيل حقاً, ولم يستجب (Audience Insights) لطلب التعليق.

بالنسبة لنارايانان معظم اللوم يذهب إلى المواقع التى تختار تشغيل برمجيات نصية مثل (AdThink), غالباً دون إدراك ما تفعله حقاً.

“نود أن نرى الناشرين يسيطرون بشكل أفضل على الأطراف الخارجية على مواقعهم” يقول نارايانان “وتنشأ هذه المشاكل جزئياً لأن مشغلي مواقع الويب يتراخون بالسماح لبرمجيات من طرف خارجي على مواقعهم دون فهم الآثار المتضمنة”

غوغل تعترف أنها تتعقب موقع المستخدم حتى و إن كانت بيانات الموقع معطلة

أمر طبيعي أن يقوم هاتف أندرويد Android بجمع معلومات حول موقعك الجغرافي عند تفعيل خدمة تحديد الموقع GPS . و لكن الأمر المفاجئ هو أن هذه الهواتف تقوم بتحديد موقعك حتى و إن كنت معطل لخدمة تحديد المواقع بل وحتى إذا كنت لا تملك شريحة اتصال SIM و ذلك بحسب تقرير لموقع كوارتز Quartz   .

و قبل الخوض في التفاصيل يجب معرفة مصطلح : ” خدمات الموقع ” “location services”الذي كثيرا ما كنا نظن أنه يشير إلى تحديد الموقع اعتماداً على بيانات القمر الصناعي جي بي إس GPS و ذلك من أجل بعض التطبيقات مثل تطبيق خرائط غوغل Google Maps أو خدمة أوبر Uber  التي تستخدم هذه الخدمة لتحديد موقعك الفعلي، وإظهاره إلى السائق المتجه لإيصالك أينما تريد .

ولكن الأمر لم يكن كذلك حيث أكد التقرير أن غوغل Google  قادرة على تعقب موقعك الفعلي اعتماداً على أبراج التغطية الخلوية من خلال تقنية التثليث أي أخذ بيانات الموقع لثلاثة أبراج خلوية قريبة منك و حساب موقعك اعتماداً عليها .

و بحسب ذات التقرير فإن كل الهواتف و الأجهزة اللوحية العاملة بنظام الأندرويد Android تقوم و منذ شهر يناير كانون الثاني الماضي بتحديد عناوين أبراج التغطية القريبة و إرسال هذه العناوين بشكل مشفر إلى نظام إدارة الرسائل و الإشعارت الخاص بغوغل Google و ذلك عند الاتصال بشبكة الإنترنت .

و الأسوأ من هذا الأمر أنه لا يمكن التخلص من هذا الأمر حتى و لو قمت بعملية ضبط المصنع .

و في رده على ذلك اعترف متحدث باسم غوغل  Google لموقع زي فيرج The Vergeبهذا الأمر و قال أن جميع هواتف أندرويد الحديثة تستخدم نظام مزامنة الشبكة و الذي يتطلب كود البلد و كود شبكة الاتصال الخلوية و من هنا تحصل غوغل Google على ما يعرف ب المعرف الخلوي Cell ID و الذي تستخدمه غوغل Google من أجل تحسين سرعة و أداء توصيل الرسائل .

و يمثل هذا الاعتراف من غوغل أمرا خطيرا على الخصوصية حيث أن معلومات مثل هذه يفترض أن تبقى سرية و لا تكون متوافرة إلا لمزودات الشبكة الخلوية المحلية و لا يمكن مشاركتها مع جهات أخرى إلا من خلال اعتبارات و إجراءات صارمة للغاية ومن هنا يتضح اختراق غوغل Google خصوصية الأفراد الذين يرغبون في الاحتفاظ بسرية مواقعهم. كما أنها تشكل هدفاً كبيراً للهاكرز الذين يرغبون في الحصول على معلومات شخصية للضحية .

و بعد أن تم كشف أمرها قررت غوغل Google تعطيل هذه الخاصية ( جمع معلومات أبراج التغطية ) من خلال تحديث سيتم إطلاقه قريباً

و لكن و حتى هذه اللحظة فإن غوغل Google ما زال بإمكانها استخدام هذه الخاصية و هذا الأمر موجود صراحة ضمن شروط الخدمة الخاصة بغوغل Google و التي كان ضمن أحد فقراتها ” عندما تستخدم خدمات غوغل فإنه من الممكن أن نجمع و نعالج معلومات تشير إلى موقعك الدقيق باستخدما تقنيات مختلفة …….. بما فيها أبراج التغطية )

في النهاية نرى أن العيون تترصدنا في كل اتجاه و أنه لا مكان للأمان في عصر التقنية … و ما خفي أعظم ..

اختراق لشركة تبادل العملات الرقمية Tether يؤدي لسرقة بقيمة 31 مليون دولار

قالت شركة تيثر Tether و هي شركة ناشئة تسمح للمستخدمين بمقايضة و استخدام عملات رقمية مُدعمة بعملات حقيقية مثل الدولار و اليورو و الين ، قالت أن ما قيمته 31 مليون دولار تقريباً قد تمت سرقته من صندوقها المالي بسبب هجوم اختراقي عن طريق برامج خبيثة .

و في منشور عبر موقعها أعلنت الشركة أن  $30,950,000 USDT ( ثلاثين مليون و تسعمائة وخمسين ألف دولار بالعملة الرقمية ) قد تم سرقته من خزينتها في التاسع عشر من شهر نوفمبر تشرين الثاني و أرسل المبلغ إلى محفظة رقمية غير مصدقة أو مرخصة .

يذكر أن عملة USDT التي تتعامل بها الشركة هي عملة رقمية مدعمة بالدولار الأمريكي و بشكل كامل من خلال المدخرات المالية في احتياطي الشركة وقد تم إنشاء عملة “USDT”  وعملات أخرى من “Tether” لتسهيل تحويل العملات المتداولة المحلية المختلفة لتزويد المستخدمين ببديل مستقر للبيتكوين و توفير بدائل أخرى لعمليات الصرف و المحفظات الإلكترونية التي لا يمكن الاعتماد عليها في الوقت الحالي.

و قالت الشركة أنها لم تتمكن من استرجاع أي مبلغ من المبلغ المسروق و ما زالت تحاول استرجاع المبلغ حتى الآن .

و على إثر ذلك فقد انخفض سعر صرف البيتكون Bitcoin بشكل حاد نوعاً ما في التعاملات الصباحية ليصل حتى 8.190 دولار وفقاً لموقع بلومبريغ .

و قالت الشركة أنها ستقوم بتزويد عملائها ببناء جديد من برنامج التشغيل Software الخاص بها أومني كور  Omni Core و ذلك من أجل منع مثل هكذا عمليات مستقبلاً حيث قالت : ” بشكل متتابع فإن كل التعاملات المصرفية ، المحافظ ، و كل ما يتعلق بهذه العملة يجب أن يحمل برنامج التشغيل الجديد فوراً منعاً للسرقة ، و أضافت : .” إن التحقيقات جارية حول أسباب هذا الهجوم و ذلك من أجل منع عمليات مماثلة مستقبلاً ” .

————————————————–

اقرأ أيضاً :

تعدين البيتكوين والعملات الرقمية الأخرى

كيفية شراء وبيع الـ Bitcoin

95% من العملات الرقمية ستختفي بينما ستبقى الـ Bitcoin

مدفأة ب 5.000 دولار يمكنها تعدين العملات الرقمية

ألمانيا تحظر الساعات الذكية عن الأطفال

قامت وكالة الاتصالات الألمانية Bundesnetzagentur بحظر استخدام الساعات الذكية للأطفال ، كما طلبت من الآباء ” تحطيمها ” و ذلك بحسب موقع  Bleeping Computer .

و اعتبر المُشرع أن الساعات الذكية الموجهة للأطفال هي ” أجهزة تجسس ممنوعة ” و طلب من الآباء القيام بتحطيم تلك الساعات الخاصة بأبنائهم كما نصح المدارس بالانباه جيداً إلى الأطفال الذين يمتلكون واحدة منها .

و أشارت السلطات الألمانية إلى قدرة التجسس لهذه الساعات و لكنها _ و بغرابة _ لم تقل أي شيء حول إعلان منظمة الإستهلاك الأوربية BEUC و التي اعتبرت أن الساعات الذكية تنطوي على تهديدات أمنية لخصوصية الطفل حيث حذرت المنظمة من إمكانية اختراق نظام تحديد المواقع العالمي جي بي إس GPS الخاص بها ليتم إخفاء الأثر أو تمويه الموقع .

و تستمر الحملة الأوربية على الساعات الذكية حيث سيتم إجبار مصنعي الساعات على زيادة بروتوكولات الحماية و تحسين متجرها .

 

اقرأ أيضاً :

آبل تعلن عن ساعتها الجديدة و التي تدعم الاتصالات الخلوية

 

هواتف OnePlus تحوي ثغرة أمنية مضمنة في النظام

نشر باحث أمني فرنسي دليلاً يشير إلى أن تقريباً كل أجهزة ال ون بلس OnePlus تأتي بتطبيق اختبار مصنعي مدمج مسبقاً و الذي يمكن أن يعمل كبوابة خلفية من أجل إعطاء الهاكرز إمكانية الوصول الكامل إلى جهازك .

و قال الباحث روبرت بابتيست Robert Baptiste أن جميع هذه الأجهزة باستثناء أجهزة ون بلس ون OnePlus One الأصلية تملك تطبيقاً يدعى إنجينيير مود Engineer Mode ( وضع المهندس ) يكون مدمجاً مع نظام التشغيل حيث يعمل كأداة اختبار و يمكن أن تستخدم من أجل أشياء مثل فحص الجي بي إس GPS و قطع الهارد وير الأخرى ، و مثل هذه الأنواع من الأدوات شائع و لكن يكون إما معطلاً أو مزالاً من قبل الشركة المطورة و ذلك قبل وصول الهاتف إلى المستخدم .

و على الرغم من أنه لا يمكن الوصول بشكل مباشر إلى تطبيق Engineer Mode ، إلا أنه لن يتطلب إلا برمجية معينة من أجل الوصول إليه و من خلاله يمكن عبر أوامر بسيطة إعطاء المُهاجم صلاحيات الروت ( الجذر ) ليمكنه من الوصول إلى كل شي تقريباً في الجهاز .

و يضيف الباحث Robert Baptiste و هو الذي اكتشف هذه الثغرة ” هذا الأمر ليس جيداً . نظرياً يجب أن يتم إزالة مثل هكذا تطبيقات قبل الإصدار النهائي للجهاز ” و اضاف : ” و لكن هذا الأمر يضيف عملية أخرى في المصنع و بالتالي فإنه يكلف وقتاً و هو غالباً يكون معقداً ، لذلك في بعض الأحيان أو غالباً فإن الشركات تقرر الاحتفاظ بمثل هكذا تطبيقات . و لكنه تعتمد الحماية عبر الإخفاء أو التضليل و هو سلوك شائع” .

لكن لسوء الحظ فإن أجهزة الون بلس OnePlus لم تقم بالتضليل أو الإخفاء لمثل هكذا تطبيقات بشكل مناسب ”

و باعت شركة ون بلس الملايين من الأجهزة الذكية و أغلب هذه الأجهزة مهددة من خلال  Engineer Mode .

حيث يمكن لمالكي هذه الأجهزة الذهاب إلى الإعدادات Settings ثم إظهار تطبيقات النظام Show System apps ثم التحقق فيما لو كان برنامج Engineer Mode منصباً أم لا ، في حال كان منصبا قم بحذفه مباشرة .

و رغم أن هذه الأداة تعطي المهاجم سيطرة كاملة على الجهاز إلا أنها تملك تقييدات حقيقية فقد أشار الباحث بابتيست  Baptiste و آخرون أن الهجوم باستغلال هذا التطبيق يتطلب وصول فيزيائي إلى الجهاز .

أما فيما يخص الشركة فقد قالت : ” إن تطبيق EngineerMode  هو أداة تشخيصية تستخدم بشكل رئيسي في معامل الإنتاج من أجل فحص الوظائف المختلفة ، و في عمليات الدعم و الصيانة بعد البيع ” و أضافت الشركة : ” إن منح أي نوع من صلاحيات الروت يتطلب وصول فيزيائي إلى الجهاز ، و بينما لا نرى أن هذا الأمر يمثل تهديداً أمنياً خطراً إلا أننا نتفهم مخاوف المستخدمين و سوف نعمل على إزالة وظيفة منح الروت من الأداة من خلال تحديث سوفتوير قادم ” .

و بحسب الباحثين فإن هذه المشكلة ليست خطرة حيث قال  Tim Strazzereالباحث  في مجموعة ريدناجا RedNaga : ” هذه ليست حالة خطرة ، و يمكن حلها بسهولة ” و لكنه اعتبر أن مثل هكذا أمور قد تكون مؤشراً على حالة الأمان و دقة التحكم للشركة .

————————————————–

اقرأ أيضاً :

مراجعة هاتف OnePlus 5T الجديد 

تعرف على هاتف OnePlus 5 الهاتف الأفضل بسعر أقل من 500 دولار 

ون بلس تجمع بيانات عن المستخدمين دون موافقتهم

فتح الهاتف قد يصبح من خلال الأشياء المادية

ماذا لو كنت تسطيع استخدام سوار اليد أو عبوة الماء الخاصة بك مثلاً كرمز سري ، لا شك أن الأمر يبدو مثيراً للغاية و لكنه قد يصبح حقيقة في يوم من الأيام.

حيث قام باحثون في جامعة فلوريدا الدولية Florida International و معهد بلومبريغ Bloomberg بتصميم طريقة جديدة لفتح الهاتف الذكي عن بعد و ذلك من خلال الكاميرا  .

و أطلق الباحثون على هذه التقنية اسم بيكسي Pixie ، كما شرحوا طريقة استخدامها حيث يجب أولاً تحديد شيء مادي مميز مثل كتاب أو ساعة يد ثم أخذ صور له عن طريق الهاتف الذكي لإنشاء صوراً مرجعية لذلك الشيء ، ثم بعد ذلك و في كل مرة تريد استخدام طريقة التحقق بخطوتين لفتح الهاتف ، فكل ما عليك فعله هو حمل ذلك الشيء بالقرب من الكاميرا .

تقنية بيكسي Pixie تقوم بتحذيرك في حال كانت الصور المأخوذة بدقة منخفضة ، و لكنها تملك بعض المناورة لذلك يمكن للهاتف أن يتعرف على ذلك الشيء حتى و لو تم أخذ الصورة في إضاءة منخفضة أو زاوية أخرى .

و تسمح لك تقنية بيكسي Pixie ، و بشكل مشابه لتقنية يوبيكيس YubiKeys، باستخدام أشياء فيزيائية من أجل مصادقة الدخول و لكنها تختلف عنها أنها لا تتطلب مفاتيح ، و التي يجب عليك إدخالها في منفذ اليو إس بي USB بعد طلبها عبر الإنترنت و بسعر يتراوح بين 18 إلى 500 دولار ،  إنما يمكن المصادقة من خلال أي شيء في المتناول دون أن تضطر إلى شراء أي شيء جديد .

و تقول الدراسة أنه من المحتمل استخدام هذه التقنية مع أي جهاز يملك كاميرا بما في ذلك  الهواتف المحمولة الأقدم ، الساعات الذكية ، نظارات Snapchat  .Spectacles

و بحسب نتائج الدراسة فإن الناس يجدون أن استخدام أشياء مادية للمصادقة أسهل من استدعاء و تسجيل كلمة مرور نصية ، و لكنها أبطأ و أقل دقة من المصادقة باستخدام التعرف على الوجه ، رغم أن الأشياء المادية التي اختارها الناس أكثر تنوعاً من العيون أو الوجوه البشرية حيث تم اختبار بيكسي Pixie على أشياء متنوعة للغاية مثل : الوشم ، ساعة اليد، علاقة المفاتيح .

إن استخدام الأشياء المادية من أجل المصادقة تتفوق بإيجابية بسيطة عن استخدام القياسات الحيوية للبشر و هي أن المستخدمين يمكنهم بسهولة تغيير الأشياء المادية المختارة و لكنه من الصعب تغيير مظاهرهم الفيزيائية .

و من أجل معرفة مدى أمان التقنية  ، قام الخبراء بإجراء اختبار أمان ضد محاولات الاختراق بالاعتماد على هجمات brute force و من خلال 14.3 مليون محاولة من أجل المصادقة حيث وجدوا أن 0.09 % فقط من كل المحاولات نجحت في فك القفل . حتى و لو كان المهاجم يعرف ما هو الشيء المادي المستخدم في المصادقة فإن معدل النجاح يبقى منخفضاً .

و على الرغم من أن الباحثين لا يخططون لإحضار هذه التقنية إلى السوق إلا أن المشروع الذي في مرحلة التطوير يظهر كيف يمكن للأشياء المادية أن تكون طريقة مناسبة من أجل إستخدام المصادقة بخطوتين ، و قد خلصت الدراسة إلى أنه مع استخدام تقنيات معالجة الصور الأكثر تقدما مثل استخدام الشبكات العصبية العميقة فإن بيكسي Pixie سيصبح أكثر سهولة في الاستخدام .

يمكن لتطبيقات آيفون بصلاحيات الكاميرا التجسس عليك سراً

حذر أحد المهندسين العاملين في شركة غوغل Google و هو المهندس فيليكس كراوس Felix Krause من أمر خطير لمستخدمي أجهزة آبل  العاملة بنظام آي أو إس iOS .

حيث قال المهندس Krause أن نظام التشغيل iOS يسمح للتطبيقات التي تملك صلاحيات الوصول إلى الكاميرا بالتقاط صور و فيديوهات بشكل خفي دون معرفة المستخدم .

و أوضح المهندس في اتصال مع موقع TNW أنه عمل على اكتشاف هذا البحث خارج أوقات العمل و بشكل مستقل عن شركة غوغل Google .

و قد أوضح من خلال هذا البحث أن إعطاء الإذن للوصول إلى الكاميرا لأحد التطبيقات سيمكن هذا التطبيق من الوصول إلى كلا الكاميرتين الأمامية و الخلفية ، و بالتالي سيكون بإمكانه التقاط الصور أو الفيديوهات في أي وقت يكون التطبيق فيه في المقدمة ثم رفع هذه الصور أو الفيديوهات مباشرة و تشغيل  مميز الوجه في الوقت الحقيقي من أجل قراءة تعابير الوجه .

و كل هذا يتم دون أي تنبيه أو إشارة تمكنك من معرفة أن الهاتف يلتقط صورة . لا صوت ، لا ضوء ، لا ضوء الليد LED .

و قد شارك المهندس توضيح لهذه القضية عبر موقع اليوتيوب Youtube ( شاهد الفيديو أسفل المقالة ) .

و الأمر الأسوء  هو أنه يمكن لأي شخص يتمكن من اختراق هذه الأذونات أن يقوم بتحليل الصورة من أجل تعيين المستخدم، و البحث عن صور أخرى خاصة بمالك الجهاز ، أو حتى مشاهدتك و أنت في الحمام مثلاً ، و إمكانية بث هذا الفيديو ليشاهده الآخرون .

و يقول المهندس أنك لا تستطيع فعل الكثير من أجل إيقاف هذا الأمر على الرغم من أنه هناك خيارات قليلة ، إلا أنه ولا واحدة منها صممت بشكل خصوصي لهذا الأمر كما أنها ليست عملية و لا توفر تجربة انسيابية و بسيطة للمستخدم .

واحدة من الخيارات هي القيام بتغطية الكاميرا بغطاء عند عدم استخدامها ، حيث يمكن أن تجد عدد كبير من مثل هكذا ملحقات عبر موقع أمازون Amazon ، أو يمكن إلغاء أذونات الوصول إلى الكاميرا لجميع التطبيقات دون أن نغفل أنه بهذه الطريقة فإن وظائف بعض التطبيقات لن تعمل مثل التقاط الصور و إرسالها مباشرة من تلك التقاط الصور.

و قام هذا الباحث بتقديم هذه الشكوى إلى شركة آبل Apple . كما قدم بعض النصائح للشركة من أجل التعامل مع هذه القضية بقدر أكبر من المسؤولية ، و من هذه النصائح هو جعل أذونات الوصول إلى الكاميرا مؤقتة ، أو على الأقل عرض تنبيه عندما يقوم الجهاز باستخدام الكاميرا .

يذكر أن شركة غوغل Google قامت مسبقاً باكتشاف ثغرات في منتجات المنافسين لأكثر من مرة ، حيث قامت العام الماضي باكتشاف أخطاء قاتلة في تطبيق مضاد الفيروسات الخاص بأجهزة الماك Mac بالإضافة إلى فضح العديد من العيوب في برنامجي مايكروسوفت إيدج Microsoft Edge و إنترنت إكسبلورر  Internet Explorer و هما متصفحي الإنترنت الخاصين بشركة مايكروسوفت Microsoft

فيديو من المهندس Felix Krause يثبت ما قاله :