رویداد

۱۳۹۹/۰۷/۰۸ - ۰۰:۰۰:۰۰
کد خبر: ۱۷۱۵۷۲

نفوذ به فایرفاکس اندروید از طریق یک آسیب‌پذیری

شرکت موزیلا به‌تازگی نقصی را برطرف کرده است که به مهاجمین اجازه می‌داد اطلاعات مرورگر فایرفاکس اندروید را در یک شبکه وای‌فای مشترک، به سرقت ببرند. به گزارش ایسنا، کاربران «نسخه اندروید مرورگر فایرفاکس» که از طریق این آسیب‌پذیری بحرانی مورد نفوذ قرار می‌گیرند، به صفحات مخرب منتقل می‌شوند که ممکن است منجر به سرقت اطلاعات حساس، بارگیری بدافزار یا نصب افزونه‌های مخرب شود. این حمله می‌تواند مسیریاب‌های وای‌فای آسیب‌پذیر را هدف قرار داده و منجر به سوءاستفاده از آنها شود، از این طریق مهاجم می‌تواند به شبکه‌های داخلی یک شرکت نفوذ کرده و کارکنان آن را مجبور به احراز هویت مجدد در سایت‌های فیشینگ کند. پژوهشگر امنیتی کشف‌کننده آسیب‌پذیری اجرای دستور از راه دور در موتور SSDPنسخه‌های قدیمی مرورگر فایرفاکس در اندروید، می‌گوید: «یک مهاجم می‌تواند از این آسیب‌پذیری برای نفوذ به همه دستگاه‌های متصل به شبکه بی‌سیم دستگاه هدف استفاده کند.» نسخه اندروید فایرفاکس به‌طور دوره‌ای پیام‌های SSDP را به تلفن‌های همراه متصل به شبکه ارسال می‌کند. پس از تعیین محل دستگاه‌های متصل، مولفه SSDP مکان یک فایل XML را ردیابی می‌کند که جزییات پیکربندی دستگاه در آن ذخیره شده است. کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتا می‌گویند: کاربران مرورگر اندروید فایرفاکس برای جلوگیری از ربوده شدن اطلاعات حساس دستگاه‌های خود باید از جدیدترین «نسخه دردسترس برنامه اندروید فایرفاکس» استفاده کنند. به گفته پژوهشگران، برای انجام این حمله تنها نصب بودن برنامه فایرفاکس در گوشی همراه اندرویدی کافی است و مهاجم نیازی ندارد قربانی را وادار کند که به وب‌سایت مخربی دسترسی یابد یا روی پیوندهای مخرب، کلیک کند. پایگاه اینترنتی hackread نوشته است: «مهاجمان با استفاده از این آسیب‌پذیری همچنین به هیچ برنامه مخرب واسطی نیاز ندارند. شرکت موزیلا این نقص و آسیب‌پذیری بحرانی را برطرف کرده و نسخه به‌روزرسانی‌شده این برنامه منتشر شده است.»

جاسوسی از اینستاگرام با یک فایل تصویری مخرب

آسیب‌پذیری خطرناکی در اینستاگرام شناسایی شده که هکرها با استفاده از آن می‌توانند به موقعیت مکانی و به فایل‌های ذخیره‌شده در دستگاه قربانی دسترسی یابند. به گزارش ایسنا، محققان شرکت چک‌پوینت آسیب‌پذیری خطرناکی را در نسخه اندروید و iOS برنامه‌کاربردی اینستاگرام شناسایی کرده‌اند که امکان اجرای کد از راه دور را برای هکرها از طریق یک فایل تصویری مخرب فراهم می‌آورد. برای به دست گرفتن کنترل اینستاگرام در گوشی کاربران کافی است هکر تصویری مخرب را از طریق ایمیل، واتس‌اپ، پیامک یا دیگر روش‌ها ارسال کند. بعد از ذخیره تصویر در گوشی، کد مخرب پنهان‌شده در تصویر با اجرای برنامه ‌کاربردی اینستاگرام فعال می‌شود. به محض اکسپلویت آسیب‌پذیری، هکر کنترل کامل اینستاگرام قربانی را در دست می‌گیرد. برای مثال، می‌تواند پست جدیدی ارسال کرده یا پستی را پاک کند. به‌علاوه از آنجایی‌که اینستاگرام حق دسترسی به برخی از قابیلت‌های گوشی را نیز دارد، هکر می‌تواند با اکسپلویت این آسیب‌پذیری به موقعیت مکانی و به فایل‌های ذخیره‌شده در دستگاه قربانی دسترسی یابد، لیست مخاطبین او را جست‌وجو و دوربین گوشی را روشن کند. همچنین هکر می‌تواند برنامه اینستاگرام را مختل و از ورود کاربر به اینستاگرام تا زمان حذف و نصب مجدد جلوگیری کند. ریشه این آسیب‌پذیری استفاده از برنامه شخص سوم با نام MozJPEG برای پردازش تصاویر است. یک دستور آسیب‌پذیر در این برنامه به مهاجم اجازه می‌دهد که حافظه اختصاص‌داده‌شده به تصویر را دستکاری کرده و کد مخرب مورد نظر خود را اجرا کند. چک‌پوینت قبل از انتشار خبر به‌صورت عمومی آسیب‌پذیری را به شرکت فیس‌بوک (فیس‌بوک اینستاگرام را در سال 2012 خریده است.) اعلام کرده است تا زمان کافی برای رفع آسیب‌پذیری وجود داشته باشد. فیس‌بوک به سرعت وصله‌ای برای آسیب‌پذیری ارایه کرد. در نتیجه اگر اینستاگرام شما به روزرسانی شده است، نباید نگران این آسیب‌پذیری باشید.

گوگل مپس به رابط کاربری مخصوص خودرو مجهز می‌شود

در حال حاضر گوگل دارای رابط کاربری ناوبری مخصوص خودرو در اپ اندروید اتو است، با این حال ظاهرا در آینده چنین ویژگی درون گوگل مپس قرار می‌گیرد. به گزارش دیجیاتو، رابط کاربری جدید گوگل مپس شباهت زیادی به اندروید اتو دارد، اما تفاوت‌هایی میان آنها نیز به چشم می‌خورد چرا که این UI مبتنی بر اپ مپس است. در حالت ناوبری شاهد حضور دو دکمه در پایین نمایشگر هستیم که یکی از آنها برای دستورات صوتی مورد استفاده قرار می‌گیرد و دیگری ظاهرا برای هوم اسکرین است. در صورتی که در این حالت از ناوبری استفاده نکنید، دکمه سوم در مرکز قرار می‌گیرد که آیکون نقشه است و می‌توان سریعا به رابط ناوبری دسترسی پیدا کرد. در بالای این نوار شاهد دکمه‌های کنترل پخش آهنگ هستیم. علاوه بر دکمه‌ها، نوشته‌ها نیز ابعاد بزرگی دارند تا هنگام رانندگی حواستان به جاده باشد. در بالای این دو نوار رابط کاربری ناوبری گوگل مپس به چشم می‌خورد. با لمس دکمه هوم اسکرین، یک منوی جدید در اختیارتان قرار می‌گیرد که شامل گزینه‌های مختلف مانند تماس‌ها، پیام‌ها، موزیک پلیرها و اپ‌های پادکست می‌شود. در صفحه تماس‌ها سه مخاطب اصلی به همراه سه تماس اخیر به چشم می‌خورد و همچنین گزینه‌ای به نام «تماس با فرد دیگر» نیز در این صفحه وجود دارد که احتمالا با لمس آن شماره‌گیر ظاهر می‌شود. در این حالت یک صفحه جداگانه برای یوتیوب موزیک نیز وجود دارد. وجود این رابط کاربری جدید تا حدودی عجیب به نظر می‌رسد چرا که شاهد حضور آن در رابط کاربری اندروید اتو در گوشی‌های هوشمند هستیم. در آینده رابط کاربری اندروید اتو در گوشی‌های هوشمند با حالت «Assistant Mode» جایگزین می‌شود، با این حال از بیش از یکسال پیش تا به امروز اطلاعات زیادی درباره آن منتشر نشده است. به نظر می‌رسد این حالت گوگل مپس هنوز به صورت کامل توسعه پیدا نکرده، با این حال برخی کاربران در آن دسترسی پیدا کرده‌اند.

پاسخ اپل به فشارها علیه انحصارطلبی اپ‌استور

روابط عمومی اپل به اتهامات منتسب به این شرکت مبنی بر انحصارطلبی و نقض قوانین ضدانحصار واکنش نشان داده است. به گزارش زومیت، پاسخ به این فشارها در صفحه‌ اصلی وب‌سایت رسمی اپل شروع می‌شود؛ جایی که بنر بزرگی طراحی شده و بازدیدکنندگان را به صفحه اپ‌استور جدید هدایت می‌کند. شعار نوشته شده روی بنر چنین است: «اپلیکیشن‌های دلخواهتان از محلی که به آن اعتماد دارید.» یکی از اتهام‌های واردشده به اپل این است که برخلاف ادعای اپل، با تمام توسعه‌دهندگان به‌صورت برابر رفتار نمی‌کند. شواهدی منتشر شده است که نشان می‌دهد اپل به توسعه‌دهندگان بزرگ قراردادهای اختصاصی ارایه می‌کند تا بتواند برنامه‌هایشان را حتما در اپ‌استور داشته باشد. برای مثال، اطلاعات قرارداد خصوصی امضاشده بین جف بزوس و ادی کیو حاکی از آن است که اپلیکیشن Amazon Prime Video نصف کمیسیون معمولی اپ‌استور را می‌پردازد، اطلاعات این قرارداد ماه جولای ۲۰۲۰ افشا شد. همچنین، اتهام دیگری علیه اپل طرح شده است که این شرکت قوانین دلخواهی برای برخی اپلیکیشن‌ها وضع می‌کند تا رضایت برخی شرکت‌های بزرگ نظیر نتفلیکس را جلب کند. طبق این اتهام، اپل از سال ۲۰۱۶ تاکنون برنامه‌ای اختصاصی برای استفاده اپلیکیشن‌های استریم ویدئو ارایه کرده است؛ اما اکنون نخستین‌بار رسما این سرویس را با فرم جدید و با نام Video Partner Program  تبلیغ می‌کند. پاسخ اپل به‌دلیل اتحاد بین چندین توسعه‌دهنده بزرگ برای ایجاد ائتلاف با هدف مبارزه علیه انحصارطلبی‌های اپ‌استور منتشر شده است. درهرصورت، هنوز اتهام‌ها رفع نشده‌اند و اپل برای برخی از ایرادهای واردشده باید پاسخ مناسبی ارایه کند؛ هرچند پاسخ‌گویی کمپین روابط‌عمومی اپل تا حدی از فشارها می‌کاهد. امکان ارسال پیام بهبودیافته می‌تواند سبب دلگرمی بیشتر توسعه‌دهندگان جزئی شود؛ اما ظاهرا اپل قصد ندارد درآمد خود از توسعه‌دهندگان را کاهش دهد.