اكتشاف ثغرة أمنية خطيرة في برنامج Winrar يتم استغلالها بشكل نشط منذ بداية هذا العام

إذا كنت تستخدم برنامج وينرار WinRAR، فقد حان الوقت للتحديث إلى الإصدار الأحدث، وذلك بعد اكتشاف ثغرة أمنية خطيرة يستخدمها المهاجمون بالفعل.

حيث وجدت مجموعة تحليل التهديدات (TAG) من جوجل Google أن العديد من مجموعات القرصنة المدعومة من بعض الحكومات قد استغلت ثغرة في برنامج WinRAR منذ أوائل عام 2023.

وقالت المجموعة إن تصحيح هذه الثغرة متاح الآن من خلال تحديث، ولكن يبدو أن العديد من المستخدمين ما زالوا معرضين للخطر.

ونوّهت المجموعة إلى وجود جهات فاعلة مدعومة من حكومات من عدد من البلدان تستغل ثغرة WinRAR كجزء من عملياتها.

ويتضمّن الإصداران 6.24 و6.23 من WinRAR إصلاحًا لهذه الثغرة الأمنية، لكن التطبيق لا يتم تحديثه تلقائيًا، لذا يتعين على المستخدم تنزيل التصحيح وتثبيته يدويًا.

وتسمح هذه الثغرة للمهاجمين بتنفيذ تعليمات برمجية عشوائية عندما يفتح المستخدم شيئًا ما مثل ملف PNG داخل الملف المضغوط في ويندوز.

كما وتمّ استخدام الثغرة أيضًا لاستهداف حسابات تداول العملات المشفرة منذ أبريل 2023.

إن الاستغلال واسع النطاق لخلل WinRAR يسلط الضوء على أن عمليات استغلال الثغرات الأمنية المعروفة يمكن أن تكون فعالة للغاية، على الرغم من توفر التصحيح.

هذه ليست المرة الأولى التي يتم فيها اكتشاف ثغرة أمنية كبيرة في برنامج WinRAR.

في عام 2019، اكتشفت شركة الأمن السيبراني Check Point Research استغلالًا لتنفيذ تعليمات برمجية عمرها 19 عامًا يمكن أن يمنح المهاجمين السيطرة الكاملة على كمبيوتر الضحية.

ختاماً يمكن تنزيل آخر تحديث لبرنامج WinRAR من هنا، أو إذا كنت تستخدم نظام التشغيل Windows 11، فيمكنك ببساطة استخدام الدعم الأصلي لملفات Zip التي تم تضمينها في آخر تحديث لنظام التشغيل.

مقالات قد تعجبك

ميتا ستمنع أخيراً إنستغرام من تتبع نشاط المستخدم عبر الويب
يوتيوب ستعرض المزيد من إعلانات المنتجات في فيديوهاتها
أكثر من 400 مليون جهاز نشط يستخدم ويندوز 11
كيفية اختيار كابل شبكة (إيثرنت)
كيفية استخدام ميزة المشاركة مع الأجهزة القريبة AirDrop في ويندوز 11

اكتشاف ثغرة أمنية خطرة في معظم متصفحات الإنترنت

أصدرت كلاً من جوجل Google وموزيلا Mozilla ومايكروسوفت Microsoft و Brave تصحيحات أمنية مهمة، وفقًا لتقارير Stack Diary.

وتُعالج هذه التصحيحات ثغرة أمنية يمكن أن يستخدمها المهاجم للوصول إلى تعليمات برمجية ضارة، و تشغيلها على جهاز الكمبيوتر الخاص بالمستخدم.

فيما أقرّت هذه الشركات بأنه قد تم استغلال الثغرة بشكل نشط، وصنّف NIST هذه الثغرة الأمنية على أنها خطيرة.

وتأثرت أيضاً تطبيقات الشركات الأخرى بمثل هذه الثغرة، والتي ترتبط بالرمز المستخدم لعرض صور WebP، والتي يتم استخدامها على نطاق واسع.

وهذه أرقام إصدارات البرامج التي تحتوي على الإصلاح:

  • جوجل كروم: الإصدار رقم 116.0.5846.187 على ماك / لينكس؛ الإصدار رقم 116.0.5845.187/.188 على نظام التشغيل ويندوز Windows.
  • موزيلا فايرفوكس: Firefox 117.0.1; Firefox ESR 102.15.1; Firefox ESR 115.2.1; Thunderbird 102.15.1; Thunderbird 115.2.2.
  • مايكروسوفت إيدج: الإصدار رقم 116.0.1938.81.
  • متصح Brave: الإصدار 1.57.64.

ذكر موقع Stack Diary أن التطبيقات المستندة إلى Electron مثل تطبيق المراسلة المشفرة Signal و Bandisoft’s Honeyview قد أصدرت أيضًا تصحيحات لهذه المشكلة.

كما تتأثر تطبيقات أخرى، مثل Affinity وGimp وLibreOffice وTelegram والعديد من تطبيقات Android والتطبيقات عبر الأنظمة الأساسية المبنية باستخدام Flutter، وفقًا للموقع.

مقالات قد تعجبك

سوني تطلق رسمياً تحديثها الجديد لبرنامج تشغيل بلاي ستيشن 5
آبل تكشف رسمياً عن هاتفي iPhone 14 و iPhone 14 Plus
ما هي الكائنات الذكية Smart Objects في فوتوشوب وكيفية إيقاف تشغيلها
كيفية إيقاف أو إعادة تشغيل جهاز بلاي ستيشن Playstation 5
كيفية فتح الآلة الحاسبة العلمية المخفية في هواتف آيفون

آبل تصدر تحديث أمني عاجل لنظام iOS 16 لتصحيح ثغرة أمنية خطرة

أصدرت شركة آبل تحديثًا أمنيًا مهمًا لهواتف آيفون iPhone لمعالجة ثغرة خطيرة في نظام التشغيل iOS 16، والذي يسمح للمهاجمين بتثبيت برامج التجسس عن بُعد دون أي تدخل من مالك الهاتف.

واكتشفت مجموعة Citizen Lab لأبحاث برامج التجسس هذه الثغرة الأسبوع الماضي وأخطرت شركة آبل بها على الفور.

وقالت المجموعة إن الهاكرز استغلوا هذه الثغرة لتثبيت برنامج التجسس Pegasus التابع لمجموعة NGO Group على جهاز آيفون مملوك لموظف في إحدى منظمات المجتمع المدني في واشنطن.

وبحسب المجموعة فإن الثغرة تسمح باختراق أجهزة iPhone التي تعمل بأحدث إصدار من iOS (16.6) دون الحاجة إلى أي نقرة من قبل المستخدم.

إن Pegasus هو برنامج تجسس تم تطويره بواسطة جهة خاص لتستخدمه الوكالات الحكومية، حيث يقوم بالتجسس وإرسال البيانات بما في ذلك الصور والرسائل وتسجيلات الصوت / الفيديو.

وأصدرت Apple الآن التحديث رقم iOS 16.6.1 بعد أيام فقط من اكتشاف هذا الاستغلال، ومن الضروري لمالكي آيفون iPhone تثبيت هذا التحديث فوراً، حتى لو لم يكن من المحتمل أن يتم استهدافهم ببرامج تجسس.

لا يزال هناك الكثير من المجموعات الراغبة في إجراء هندسة عكسية للتحديثات الأمنية لنظام التشغيل iOS لمحاولة اكتشاف كيفية استغلال هذه الثغرة الأمنية الجديدة، مما يزيد من خطر وقوع هجمات أوسع نطاقًا.

ولم تقدم Citizen Lab تحليلاً كاملاً للثغرة الأمنية التي أطلقت عليها اسم BLASTPASS، لأنها تتضمن PassKit، وهو إطار عمل يسمح للمطورين بتضمين خدمة الدفع Apple Pay في تطبيقاتهم.

كما أكّدت أن وضع Lockdown Mode من Apple يحمي المستخدمين من هذا الاستغلال الأخير.

تصدرت الثغرات الأمنية في نظام التشغيل iOS عناوين الأخبار بانتظام في السنوات الأخيرة، خاصة تلك التي تم استغلالها بشكل نشط قبل أن تدرك شركة Apple وجود الخلل الأمني.

وطورت شركة Apple نظام الاستجابة الأمنية السريعة الذي يمكنه إضافة إصلاحات أمنية إلى iPhone دون الحاجة إلى إعادة تشغيل الجهاز.

مقالات قد تعجبك

واتساب تتيح رسمياً مشاركة الصور ومقاطع الفيديو بدقة عالية
يوتيوب تعلن عن بعض التغييرات الهامة المتعلقة بالإعلانات
متصفح كروم على سطح المكتب سيحصل على مظهر جديد قريباً
كيفية التراجع والإعادة على جهاز كمبيوتر في ويندوز
كيف يعمل السطوع التلقائي على الهاتف أو الكمبيوتر المحمول؟

محرك بحث Bing والملايين من حسابات Microsoft 365 كانت عرضة للهاكرز

تم اكتشاف ثغرة أمنية خطرة في وقت سابق من هذا العام تُعرّض ملايين حسابات Microsoft 365 للخطر.

حيث اكتشف باحثو الأمن في Wiz ثغرة في نظام الحوسبة السحابية الخاص بشركة مايكروسوفت Azure، بحيث يمكن استغلالها للوصول إلى نظام إدارة المحتوى في Bing وجمع معلومات خاصة من تطبيقات Microsoft، مثل Teams و Outlook و Office Suite.

كما وسمحت الثغرة للمستخدمين بتغيير نتائج البحث والوصول إلى المعلومات الخاصة لمستخدمي Bing الآخرين من أمثال Teams و Outlook و Office 365.

وقد تم الكشف عن هذه الثغرة الأمنية في خدمة إدارة الوصول والهوية Azure Active Directory (AAD).

كانت العديد من التطبيقات في خطر بسبب هذه الثغرة، وكان باحثو Wiz قادرين على تعديل نتائج بحث Bing وإطلاق هجمات XSS عالية التأثير على مستخدمي Bing.

وسلّط Wiz الضوء على أن أي شخص وصل إلى صفحة تطبيق Bing Trivia ربما يكون قد تلاعب بنتائج بحث Bing لإطلاق حملات معلومات مضللة أو تصيد احتيالي.

وكان ما يقرب من 25% من التطبيقات متعددة المستأجرين عرضة للخطر، وفقًا لـ Wiz.

تم اكتشاف أكثر من 1000 تطبيق وموقع على السحابة من Microsoft مع عمليات استغلال خاطئة مماثلة، بما في ذلك Mag News و Contact Center و PoliCheck و Power Automate Blog و Cosmos.

كما كشف تحقيق في قسم Bing’s Work أيضًا أنه يمكن استخدام الاستغلال للوصول إلى بيانات Office 365 للمستخدمين الآخرين، وكشف رسائل البريد الإلكتروني والتقويمات ورسائل Teams ومستندات SharePoint وملفات OneDrive في Outlook.

وقام الباحث Hillai Ben-Sasson، باحث الأمن السحابي في Wiz، بتوضيح كيفية تمكنهم من تغيير نتائج بحث Bing و “الاستيلاء على ملايين حسابات Office 365”.

وقال آمي لوتواك، كبير مسؤولي التكنولوجيا في Wiz لصحيفة وول ستريت جورنال: “كان من الممكن أن يكون مهاجم محتمل قد أثر على نتائج بحث Bing وأدى إلى اختراق رسائل البريد الإلكتروني وبيانات Microsoft 365 لملايين الأشخاص، ربما كانت دولة قومية تحاول التأثير على الرأي العام أو متسللًا ذا دوافع مالية”.

وقد تم الإبلاغ عن ثغرة Bing إلى مركز الاستجابة الأمنية التابع لشركة Microsoft في 31 يناير/كانون الثاني.

قامت الشركة بإصلاح المشكلة في الثاني من فبراير/شباط، ثم قامت Wiz لاحقًا بوضع علامة على التطبيقات الأخرى المعرضة للخطر في 25 فبراير، لتؤكد الشركة أن جميع المشكلات المبلغ عنها قد تم إصلاحها في 20 مارس.

قالت Microsoft أيضًا أن الشركة أجرت تغييرات إضافية لتقليل مخاطر التهيئة الخاطئة في المستقبل.

بطريقة ما كان توقيت الإبلاغ عن الاستغلال وإصلاحه نعمة لمايكروسوفت.

حيث تم الإبلاغ عن الثغرة الأمنية في 31 يناير/كانون الثاني 2023 وتم إصلاحها بعد يومين في 2 فبراير 2023.

وأعلنت مايكروسوفت عن Bing الجديد في 7 فبراير/شباط 2023، فلو تم ترك الثغرة الأمنية دون إصلاح عند تشغيل محرك البحث الجديد في المعاينة، فإن احتمال استغلال الثغرة أعلى من ذلك بكثير.

في حين أنه كان من الممكن استغلال الثغرة الأمنية المبلغ عنها لسنوات وفقًا لـ Wiz، أوضحت الشركة أنه لا يوجد دليل على أنه تم استغلالها.

مقالات قد تعجبك

مايكروسوفت ستضيف مزيداً من الإعلانات في خدمة بوت دردشة Bing 
تقرير إخباري يزعم قيام جوجل باستخدام بيانات خاصة بـ ChatGPT لتدريب Bard
إنستغرام يتيح الآن حفظ الصور في مجموعات مشتركة مع الأصدقاء
آبل تكشف عن موعد مؤتمرها العالمي للمطورين WWDC 2023
كيفية استخدام خيارات بدء التشغيل المتقدمة في ويندوز 11

ثغرة في متصفح Safari 15 الخاص بآبل أدت إلى تسريب نشاط التصفح ومعلومات شخصية

كشف موقع FingerprintJS عن ثغرة في متصفح سفاري Safari 15 الخاص بآبل على أجهزة ماك وآيفون، والتي تؤدي إلى تسريب نشاط التصفح الخاص بالمستخدم.

كما ويمكن عبر هذه الثغرة الكشف عن بعض المعلومات الشخصية المرفقة بحساب جوجل Google.

وتنتج الثغرة الأمنية بشكل رئيسي عن مشكلة في خدمة قاعدة البيانات المفهرسة IndexedDB، وهي واجهة برمجة تطبيقات (API) تخزن البيانات على المتصفح.

وتلتزم الخدمة IndexedDB بسياسة المصدر نفسه، والتي تقيد مصدراً ما من التفاعل مع البيانات التي يتم جمعها من مصادر أخرى، أي أنه فقط موقع الويب الذي ينشئ البيانات هو الذي يمكنه الوصول إليها.

على سبيل المثال، إذا فتحت حساب البريد الإلكتروني في علامة تبويب ثم فتحت صفحة ويب ضارة في علامة تبويب أخرى، فإن سياسة المصدر نفسه تمنع الصفحة الضارة من عرض بريدك الإلكتروني والتداخل معه.

واكتشف موقع FingerprintJS أن تطبيق Apple الخاص ب IndexedDB API في Safari 15 ينتهك بالفعل سياسة المصدر نفسه.

فعندما يتفاعل موقع ويب مع قاعدة بيانات في سفاري 15 Safari يتم إنشاء قاعدة بيانات جديدة (فارغة) تحمل الاسم نفسه في جميع الإطارات وعلامات التبويب والنوافذ النشطة الأخرى في نفس جلسة المتصفح.

هذا يعني أن مواقع الويب الأخرى يمكنها رؤية أسماء قواعد البيانات الأخرى التي تم إنشاؤها على مواقع أخرى، والتي قد تحتوي على تفاصيل خاصة بهويتك.

ولاحظ الموقع أن المواقع التي تستخدم حساب جوجل Google، مثل YouTube وتقويم Google و Google Keep، تنشئ جميعها قواعد بيانات بمعرف مستخدم Google الفريد الخاص بك في قاعدة بياناتها.

حيث يسمح معرف مستخدم جوجل Google الخاص بالمستخدم لجوجل بالوصول إلى المعلومات المتاحة للجمهور، مثل صورة الملف الشخصي، وهذه المعلومات يمكن أن يكشفها متصفح سفاري Safari عن طريق الخطأ لمواقع الويب الأخرى.

وكشف الموقع عن حوالي 30 موقع شهير متأثر بالخلل، مثل إنستغرام Instagram ونتفليكس Netflix وتويتر Twitter وإكس بوكس Xbox، ويُتوقع أن يكون المواقع المتأثرة أكثر من ذلك بكثير.

لسوء الحظ، ليس هناك الكثير مما يمكنك فعله للتغلب على هذه المشكلة، حيث تقول FingerprintJS أن الخطأ يؤثر أيضاً على وضع التصفح الخاص في Safari.

ولم تعلق شركة آبل حول هذا الأمر حتى الآن.

مقالات قد تعجبك

إنفيديا تصدر ميزة DLDSR لعرض الألعاب بدقة أعلى من دقة الشاشة
هواتف Galaxy S22 من سامسونج ستتضمن إصداراً مطوراً من الزجاج
سعر ومواصفات ساعة Watch GS 3 من Honor
كيفية معرفة أي تطبيقات تستخدم أكبر قدر من الرام (الذاكرة) على أندرويد
كيفية تخصيص ظهور ورنين واهتزاز إشعارات التطبيقات في أندرويد
أهم أسباب مشكلة عدم وصول بعض الإشعارات على أندرويد

تحديث macOS 11.3 الجديد بدأ بالوصول إلى حواسيب ماك

أصدرت شركة آبل Apple الإصدار الجديد 11.3 من نظام التشغيل macOS لحواسيب ماك الخاصة بالشركة، وذلك بالتزامن مع إصدار التحديث الجديد 14.5 من نظام iOS 14.5 لهواتف الآيفون

ويتضمن الإصدار الجديد العديد من الميزات الجديدة، بما في ذلك تحسينات لتشغيل تطبيقات الآيفون iPhone والآيباد iPad على أجهزة M1 Mac وتحديثات لتطبيق Apple Music وتطبيق Podcasts، بالإضافة إلى تصحيح ثغرة خطيرة في الإصدارات السابقة.

حيث يقوم التحديث التجديد بتصحيح ثغرة سابقة سمحت للبرامج الضارة بتجاوز العديد من وسائل الحماية المضمنة في macOS، مثل File Quarantine ومربع الحوار الافتتاحي GateKeeper.

في حين أن نظام مكافحة البرامج الضارة المدمج في Apple لا يزال بإمكانه حظر البرامج الضارة إذا كانت Apple على علم بها، وجدت شركة برامج المؤسسة Jamf دليلًا على أن الثغرة الأمنية تم استغلالها من قبل المهاجمين.

تفصل Apple أيضاً عدداً كبيراً من إصلاحات الأمان الأخرى المضمنة مع آخر تحديث في صفحة تحديث الأمان الخاصة بها، بما في ذلك تصحيحات أمان لأولئك الذين لم يجروا تحديثات على Big Sur حتى الآن.

بصرف النظر عن التحديثات الأمنية ، فإن أحد أكبر التحسينات الجديدة في 11.3 (على الأقل لمالكي M1 Macs) هو القدرة على تغيير حجم نوافذ تطبيقات iPhone و iPad.

كما أضافت Apple أيضاً دعم لوحة المفاتيح والماوس ولوحة التتبع للألعاب المتوافقة مع وحدات التحكم.

أضافت Apple أيضاً التشغيل التلقائي إلى تطبيق الموسيقى وهي ميزة إما رائعة أو مزعجة حسب الحالة المزاجية للمستخدم.

فبعد أن تصل إلى نهاية أغنية أو قائمة تشغيل، سيستمر Apple Music في تشغيل الأغاني المتشابهة (لحسن الحظ، يمكن إيقاف تشغيلها إذا كنت تريد الاستماع إلى أغنية واحدة فقط).

سيحتوي تطبيقي News and Podcasts أيضاً على صفحات مُعاد تصميمها لتسهيل استخدامها (مع حصول الأول على ميزة بحث مُعاد صياغتها).

يضيف التحديث أيضًا العديد من الميزات الموجودة في iOS 14.5: مثل القدرة على تتبع AirTags باستخدام تطبيق Find My، والرموز التعبيرية الجديدة وأصوات Siri ، ودعم وحدات تحكم Xbox Series X / S و PlayStation 5 DualSense.

مقالات قد تعجبك

سيارة Mercedes-Benz EQB ستكون أول سيارة دفع رباعي كهربائية في الولايات المتحدة
فيس بوك تطرح صوراً رمزية (أفاتار) جديدة وأكثر تعبيراً لجهاز الواقع المعزز Oculus
تويتر تعمل على تمكين مستخدميها الدفع لمستخدمين آخرين مباشرة
كيفية فحص أمان تصفح الإنترنت من خلال جوجل كروم
كيفية حل مشكلة عدم شحن آيفون وآيباد بشكل صحيح
كيفية استخدام واتساب على جهاز الكمبيوتر

اكتشاف ثغرة خطيرة في لعبة Counter-Strike: Global Offensive

اكتشف خبراء أمنيون ثغرة جديدة في لعبة Counter-Strike: Global Offensive قد تسمح للمتسلل بالسيطرة على جهاز الكمبيوتر الخاص بك إذا نقرت على دعوة Steam للعب.

وتم اكتشاف الخطأ بواسطة مجموعة The Secret Club، وهي مجموعة قرصنة أخلاقية، والتي وجدت أن المتسللين يمكنهم استغلال الخطأ باستخدام نظام دعوة Steam.

وفي حالة قيام الضحية بالنقر فوق الارتباط، يمكن للمتسلل الحصول على معلومات خاصة من أي شخص يقبل الدعوة.

وتم اكتشاف هذه الثغرة في محرك اللعبة المصدر، الذي طورته Valve ويُستخدم في العديد من عناوين ألعاب Valve، بما في ذلك Counter-Strike: Global Offensive.

في حين أن بعض الألعاب التي تستخدم المحرك لم تعد تحتوي على الخطأ، إلا أن الثغرة لا تزال موجودة في Counter-Strike: Global Offensive كما هو موضح في الفيديو أدناه.

ووفقاً لمجموعة The Secret Club، قام أحد أعضائه والباحث الأمني ​​المسمى Florian بالإبلاغ عن الخطأ إلى شركة فالف Valve المطورة للعبة في عام 2019.

حيث أخبر فلوريان موقع Motherboard أنه تواصل مع شركة Valve حول الخطأ عبر منصة HackerOne، وهي منصة مكافأة للأخطاء يستخدمها الاستوديو.

وقامت Valve بتصنيف الخطأ على أنه “حرج” ، إلا أن الاستوديو اعترف بأنه كان “بطيئاً في الاستجابة” في المواضيع المتعلقة بالخطأ.

ويعتبر الكشف عن هذا الخطأ مقلق بالنسبة للاعبي Counter-Strike: Global Offensive.

وذلك على الرغم من أن اللعبة عمرها 10 سنوات تقريباً، إلا أنها لا تزال تحظى بشعبية كبيرة على منصة Steam.

كما أصبحت اللعبة مجانية منذ عام 2018 وهي واحدة من أكبر بطولات الرياضات الإلكترونية في العالم.

مقالات قد تعجبك

شاهد نظرة أولية على سيارة مرسيدس الكهربائية EQS 2022
مراجعة هاتف TCL 20 Pro 5G وهاتف TCL 20L وهاتف +TCL 20L
شاهد أجمل تصميم تخيلي قد تراه لمدير ملفات ويندوز
كيفية إيقاف إشعارات مواقع الويب في متصفح كروم على أندرويد
كيفية استعادة مربعات حوار التحذير في فوتوشوب
كيفية إيقاف وإعادة تشغيل ساعة آبل

إذا كنت تملك آيفون فعليك تحديثه فوراً

أصدرت آبل Apple تحديث iOS 14.4 الخاص بها لهواتف الآيفون حيث قالت أنها أصلحت من خلاله ثغرتين خطيرتين ربما قد تم استغلالهما.

ولم تورد الشركة الكثير من التفاصيل حول هذه الأخطاء مكتفية بالقول بأنها “على علم بتقرير يفيد بأنه قد تم استغلال هذه المشكلة بشكل نشط.”

تتعلق إحدى الثغرات الأمنية بالنواة Kernel حيث يستطيع المهاجم من خلالها بزيادة مستوى امتيازه (مثل أن يصبح مسؤولاً) ويتسبب في أضرار جسيمة للهاتف أو أن يسرق بياناته.

الثغرة الثانية تتعلق بمحرك التصميم وب كت WebKit والذي يعمل على تشغيل متصفح سفاري Safari؛ حيث أنه ومن خلال هذه الثغرة يستطيع المهاجمون تنفيذ تعليمات برمجية عشوائية يمكن استخدامها للتطفل عليك.

وتشكل قدرة المهاجم عن بعد على تنفيذ تعليمات برمجية عشوائية أن المهاجم يمكنه القيام بأشياء على هاتفك بمجرد زيارتك لموقع ويب يتحكم فيه.

ووعدت شركة Apple بتوفير تفاصيل إضافية قريباً، لذلك نترقب المزيد من المعلومات حول الثغرات.

يذكر أنه وفي عام 2019 كشف فريق Project Zero التابع لجوجل Google أن برنامجاً ضاراً استغل ثغرات في آيفون iPhone لسرقة البيانات لمدة عامين قبل أن يتم حلها.

وعادة لا تكشف شركات مثل آبل Apple عن تفاصيل الأخطاء التي تتعرض للهجوم، ومع ذلك ونظراً لحجم التأثير على مالكي آيفون iPhone فقد طلبت الشركة من مستخدمي آيفون تحديث أجهزتهم هذه المرة.

إن كل ما سبق يعني أنه إذا كنت تمتلك هاتف آيفون فيجب عليك تحديثه فوراً، للقيام بذلك اذهب إلى الإعدادات> عام> تحديث البرنامج، وقم بتنزيل التصحيح.

مقالات قد تعجبك

تويتر يختبر نظاماً جديداً للتحقق من صحة التغريدات المنشورة عبره
أرقام هواتف ملايين الحسابات على فيس بوك متاحة للبيع عبر تيليجرام
ميزة جديدة قادمة لإنستغرام تفيد أصحاب الأعمال
كيفية تحديد الأشخاص الذين يمكنهم التعليق على منشورات إنستغرام
أبرز الإضافات المتعلقة بالخصوصية التي أضافتها آبل عبر نظام التشغيل iOS 14
ما هو دور التكنولوجيا الرقمية في عالم الأعمال؟

أرقام هواتف ملايين الحسابات على فيس بوك متاحة للبيع عبر تيليجرام

تمكن أحد الأشخاص من الحصول على قاعدة بيانات مليئة بأرقام هواتف مستخدمي فيس بوك Facebook، حيث يقوم الآن ببيع هذه البيانات باستخدام بوت عبر تيليجرام Telegram، وذلك بحسب تقرير صادر عن موقع Motherboard.

وقال الباحث الأمني ​​الذي اكتشف هذه الثغرة Alon Gal إن الشخص الذي يدير البوت يدعي أن لديه بيانات ل 533 مليون مستخدم، حيث تمكن من الحصول عليها من خلال ثغرة في فيس بوك Facebook تم تصحيحها في عام 2019.

ويلزم قدر من المهارة الفنية للعثور على أي بيانات مفيدة وذلك بسبب وجود الملايين من البيانات، كما يجب أن يكون هناك تواصل بين الشخص الذي يمتلك قاعدة البيانات والشخص الذي يحاول الحصول على معلومات محددة منها، لأن “مالك” قاعدة البيانات لن يمنح شخصاً آخر كل هذه البيانات القيمة، ولذلك فقد اتجه هذا الشخص لصنع بوت Telegram لحل هذه المشاكل وتسهيل التواصل.

https://twitter.com/UnderTheBreach/status/1349671294808285184?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1349671417625931778%7Ctwgr%5E&ref_url=https%3A%2F%2Fwww.theverge.com%2F2021%2F1%2F25%2F22249571%2Ffacebook-phone-number-hack-telegram-bot

ويسمح البوت لأي شخص القيام بأمرين: إذا كان لديه معرف مستخدم على فيس بوك Facebook، فيمكنه العثور على رقم هاتف هذا الشخص، والعكس أي أنه إذا كان لديه رقم هاتف لشخص ما، فيمكنه العثور على معرف مستخدم Facebook الخاص به.

ويبيع صاحب البوت كل خدمة مقابل 20 دولار، كما هناك أسعار خاصة لبيع الجملة، من خلال تقديم 10,000 خدمة مقابل 5,000 دولار وفقاً لتقرير Motherboard.

ويعمل هذا البوت منذ 12 كانون الثاني (يناير) 2021 على الأقل، وفقاً للقطات الشاشة التي نشرها Gal، لكن البيانات التي يوفر الوصول إليها تعود إلى عام 2019.

أي أن هذه البيانات قديمة إلا أنها لا تزال هامة حيث أن الأشخاص لا يغيرون أرقام هواتفهم كثيراً، كما أنه أمر محرج بشكل خاص لفيس بوك Facebook لأنه جمع أرقام الهواتف من أشخاص بما في ذلك المستخدمين الذين كانوا يقومون بتشغيل المصادقة الثنائية.

في الوقت الحالي من غير المعروف ما إذا كانت Motherboard أو باحثو الأمن قد اتصلوا ب Telegram لمحاولة إزالة البوت، على الرغم من أن هذه البيانات لا تزال موجودة على الويب وقد عادت إلى الظهور عدة مرات منذ أن تم إلغاؤها في البداية في عام 2019.

مقالات قد تعجبك

أندرويد 12 سيتيح مشاركة كلمة مرور الواي فاي مع الأجهزة القريبة
تشغيل نظام Linux عبر حواسيب ماك الجديدة أصبح متاحاً الآن
مراجعة هاتف Vivo Y20G المتميز ببطارية بسعة 5,000 ميلي أمبير
كيفية إيقاف التحديثات مؤقتاً في ويندوز 10
كيفية إيجاد الملفات التي تم تحميلها من الإنترنت على نظام أندرويد
كيفية فتح الملفات المضغوطة ZIP في هواتف أندرويد

اكتشاف ثغرة خطيرة في هواتف آيفون تتيح التحكم الكامل بها عن بعد

لعلك شاهدت فيما مضى فيلماً سينيمائياً عن هاكرز يقوم بالسيطرة على هواتف عن بعد، والتحكم بها بشكل كامل، ولكنك قد تعتقد عدم إمكانية وجود هذا الأمر في الواقع.

يبدو أنك مخطئ في اعتقادك، وآخر ما يثبت ذلك هو ما كشفه الباحث الأمني (إيان بير) Ian Beer في مشروع (جوجل بروجيكت زيرو) Google Project Zero.

والذي أكد فيه وجود ثغرة خطرة في أجهزة متنوعة من آبل Apple عاملة بنظام iOS مثل هواتف الآيفون، واستمر وجود هذه الثغرة حتى شهر مايو/أيار الماضي.

حيث سمحت هذه الثغرة للمهاجمين بإعادة تشغيل الهواتف عن بُعد والتحكم الكامل فيها من مسافة بعيدة، بما في ذلك قراءة رسائل البريد الإلكتروني والرسائل الأخرى، وتنزيل الصور، وربما حتى تشغيل الكاميرا ومشاهدة الضحية، والاستماع إليها من خلال ميكروفون الهاتف.

وشرح الباحث الأمني Beer التقنية التي تستغلها هذه الثغرة حيث قال أن هواتف آيفون iPhone وأجهزة آياد iPad و حواسيب ماك Macs تستخدم اليوم بروتوكولاً يسمى Apple Wireless Direct Link واختصاراً AWDL، وذلك لإنشاء شبكات لميزات مثل ميزة AirDrop (بحيث يمكنك بسهولة إرسال الصور والملفات إلى أجهزة iOS الأخرى) وميزة Sidecar ( لتحويل جهاز iPad بسهولة إلى شاشة ثانوية).

وأكثر من ذلك، فقد وجد الباحث أيضاً طريقة لتشغيل بروتوكول AWDL بشكل إجباري، حتى لو تم إيقافه سابقاً.

وقال مكتشف الثغرة أنه لا يوجد أي دليل على استغلال هذه الثغرة في الواقع، كما أكد بأن الأمر استغرق منه ستة أشهر كاملة للتعرف على هذه الثغرة والتحقق منها وإثباتها، قبل أن يتم تصحيحها في شهر مايو/أيار الماضي.

من جهتها لم تنفِ شركة آبل Apple وجود الثغرة، لكن الشركة أشارت إلى أن معظم مستخدمي iOS يستخدمون بالفعل إصدارات أحدث من iOS، وأشارت إلى أن المهاجم كان بحاجة إلى أن يكون ضمن نطاق Wi-Fi حتى يعمل.

مقالات قد تعجبك

واتسآب أعلنت عن تحديث جديد لتطبيقها بالعديد من الميزات المثيرة
مايكروسوفت بدأت في طرح تحديث نوفمبر لأجهزة Xbox Series X و Series S
استمتع بألعاب بلاي ستيشن 2 عبر أجهزة إكس بوكس الجديدة
كيفية حساب المسافة بين نقطتين على خرائط Google
حل مشكلة تم اكتشاف طبقة متراكبة للشاشة
ما هي خدمة الحماية الجديدة لأندرويد Play Protect وكيفية تفعيلها