رویداد
نفوذ به فایرفاکس اندروید از طریق یک آسیبپذیری
شرکت موزیلا بهتازگی نقصی را برطرف کرده است که به مهاجمین اجازه میداد اطلاعات مرورگر فایرفاکس اندروید را در یک شبکه وایفای مشترک، به سرقت ببرند. به گزارش ایسنا، کاربران «نسخه اندروید مرورگر فایرفاکس» که از طریق این آسیبپذیری بحرانی مورد نفوذ قرار میگیرند، به صفحات مخرب منتقل میشوند که ممکن است منجر به سرقت اطلاعات حساس، بارگیری بدافزار یا نصب افزونههای مخرب شود. این حمله میتواند مسیریابهای وایفای آسیبپذیر را هدف قرار داده و منجر به سوءاستفاده از آنها شود، از این طریق مهاجم میتواند به شبکههای داخلی یک شرکت نفوذ کرده و کارکنان آن را مجبور به احراز هویت مجدد در سایتهای فیشینگ کند. پژوهشگر امنیتی کشفکننده آسیبپذیری اجرای دستور از راه دور در موتور SSDPنسخههای قدیمی مرورگر فایرفاکس در اندروید، میگوید: «یک مهاجم میتواند از این آسیبپذیری برای نفوذ به همه دستگاههای متصل به شبکه بیسیم دستگاه هدف استفاده کند.» نسخه اندروید فایرفاکس بهطور دورهای پیامهای SSDP را به تلفنهای همراه متصل به شبکه ارسال میکند. پس از تعیین محل دستگاههای متصل، مولفه SSDP مکان یک فایل XML را ردیابی میکند که جزییات پیکربندی دستگاه در آن ذخیره شده است. کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتا میگویند: کاربران مرورگر اندروید فایرفاکس برای جلوگیری از ربوده شدن اطلاعات حساس دستگاههای خود باید از جدیدترین «نسخه دردسترس برنامه اندروید فایرفاکس» استفاده کنند. به گفته پژوهشگران، برای انجام این حمله تنها نصب بودن برنامه فایرفاکس در گوشی همراه اندرویدی کافی است و مهاجم نیازی ندارد قربانی را وادار کند که به وبسایت مخربی دسترسی یابد یا روی پیوندهای مخرب، کلیک کند. پایگاه اینترنتی hackread نوشته است: «مهاجمان با استفاده از این آسیبپذیری همچنین به هیچ برنامه مخرب واسطی نیاز ندارند. شرکت موزیلا این نقص و آسیبپذیری بحرانی را برطرف کرده و نسخه بهروزرسانیشده این برنامه منتشر شده است.»
جاسوسی از اینستاگرام با یک فایل تصویری مخرب
آسیبپذیری خطرناکی در اینستاگرام شناسایی شده که هکرها با استفاده از آن میتوانند به موقعیت مکانی و به فایلهای ذخیرهشده در دستگاه قربانی دسترسی یابند. به گزارش ایسنا، محققان شرکت چکپوینت آسیبپذیری خطرناکی را در نسخه اندروید و iOS برنامهکاربردی اینستاگرام شناسایی کردهاند که امکان اجرای کد از راه دور را برای هکرها از طریق یک فایل تصویری مخرب فراهم میآورد. برای به دست گرفتن کنترل اینستاگرام در گوشی کاربران کافی است هکر تصویری مخرب را از طریق ایمیل، واتساپ، پیامک یا دیگر روشها ارسال کند. بعد از ذخیره تصویر در گوشی، کد مخرب پنهانشده در تصویر با اجرای برنامه کاربردی اینستاگرام فعال میشود. به محض اکسپلویت آسیبپذیری، هکر کنترل کامل اینستاگرام قربانی را در دست میگیرد. برای مثال، میتواند پست جدیدی ارسال کرده یا پستی را پاک کند. بهعلاوه از آنجاییکه اینستاگرام حق دسترسی به برخی از قابیلتهای گوشی را نیز دارد، هکر میتواند با اکسپلویت این آسیبپذیری به موقعیت مکانی و به فایلهای ذخیرهشده در دستگاه قربانی دسترسی یابد، لیست مخاطبین او را جستوجو و دوربین گوشی را روشن کند. همچنین هکر میتواند برنامه اینستاگرام را مختل و از ورود کاربر به اینستاگرام تا زمان حذف و نصب مجدد جلوگیری کند. ریشه این آسیبپذیری استفاده از برنامه شخص سوم با نام MozJPEG برای پردازش تصاویر است. یک دستور آسیبپذیر در این برنامه به مهاجم اجازه میدهد که حافظه اختصاصدادهشده به تصویر را دستکاری کرده و کد مخرب مورد نظر خود را اجرا کند. چکپوینت قبل از انتشار خبر بهصورت عمومی آسیبپذیری را به شرکت فیسبوک (فیسبوک اینستاگرام را در سال 2012 خریده است.) اعلام کرده است تا زمان کافی برای رفع آسیبپذیری وجود داشته باشد. فیسبوک به سرعت وصلهای برای آسیبپذیری ارایه کرد. در نتیجه اگر اینستاگرام شما به روزرسانی شده است، نباید نگران این آسیبپذیری باشید.
گوگل مپس به رابط کاربری مخصوص خودرو مجهز میشود
در حال حاضر گوگل دارای رابط کاربری ناوبری مخصوص خودرو در اپ اندروید اتو است، با این حال ظاهرا در آینده چنین ویژگی درون گوگل مپس قرار میگیرد. به گزارش دیجیاتو، رابط کاربری جدید گوگل مپس شباهت زیادی به اندروید اتو دارد، اما تفاوتهایی میان آنها نیز به چشم میخورد چرا که این UI مبتنی بر اپ مپس است. در حالت ناوبری شاهد حضور دو دکمه در پایین نمایشگر هستیم که یکی از آنها برای دستورات صوتی مورد استفاده قرار میگیرد و دیگری ظاهرا برای هوم اسکرین است. در صورتی که در این حالت از ناوبری استفاده نکنید، دکمه سوم در مرکز قرار میگیرد که آیکون نقشه است و میتوان سریعا به رابط ناوبری دسترسی پیدا کرد. در بالای این نوار شاهد دکمههای کنترل پخش آهنگ هستیم. علاوه بر دکمهها، نوشتهها نیز ابعاد بزرگی دارند تا هنگام رانندگی حواستان به جاده باشد. در بالای این دو نوار رابط کاربری ناوبری گوگل مپس به چشم میخورد. با لمس دکمه هوم اسکرین، یک منوی جدید در اختیارتان قرار میگیرد که شامل گزینههای مختلف مانند تماسها، پیامها، موزیک پلیرها و اپهای پادکست میشود. در صفحه تماسها سه مخاطب اصلی به همراه سه تماس اخیر به چشم میخورد و همچنین گزینهای به نام «تماس با فرد دیگر» نیز در این صفحه وجود دارد که احتمالا با لمس آن شمارهگیر ظاهر میشود. در این حالت یک صفحه جداگانه برای یوتیوب موزیک نیز وجود دارد. وجود این رابط کاربری جدید تا حدودی عجیب به نظر میرسد چرا که شاهد حضور آن در رابط کاربری اندروید اتو در گوشیهای هوشمند هستیم. در آینده رابط کاربری اندروید اتو در گوشیهای هوشمند با حالت «Assistant Mode» جایگزین میشود، با این حال از بیش از یکسال پیش تا به امروز اطلاعات زیادی درباره آن منتشر نشده است. به نظر میرسد این حالت گوگل مپس هنوز به صورت کامل توسعه پیدا نکرده، با این حال برخی کاربران در آن دسترسی پیدا کردهاند.
پاسخ اپل به فشارها علیه انحصارطلبی اپاستور
روابط عمومی اپل به اتهامات منتسب به این شرکت مبنی بر انحصارطلبی و نقض قوانین ضدانحصار واکنش نشان داده است. به گزارش زومیت، پاسخ به این فشارها در صفحه اصلی وبسایت رسمی اپل شروع میشود؛ جایی که بنر بزرگی طراحی شده و بازدیدکنندگان را به صفحه اپاستور جدید هدایت میکند. شعار نوشته شده روی بنر چنین است: «اپلیکیشنهای دلخواهتان از محلی که به آن اعتماد دارید.» یکی از اتهامهای واردشده به اپل این است که برخلاف ادعای اپل، با تمام توسعهدهندگان بهصورت برابر رفتار نمیکند. شواهدی منتشر شده است که نشان میدهد اپل به توسعهدهندگان بزرگ قراردادهای اختصاصی ارایه میکند تا بتواند برنامههایشان را حتما در اپاستور داشته باشد. برای مثال، اطلاعات قرارداد خصوصی امضاشده بین جف بزوس و ادی کیو حاکی از آن است که اپلیکیشن Amazon Prime Video نصف کمیسیون معمولی اپاستور را میپردازد، اطلاعات این قرارداد ماه جولای ۲۰۲۰ افشا شد. همچنین، اتهام دیگری علیه اپل طرح شده است که این شرکت قوانین دلخواهی برای برخی اپلیکیشنها وضع میکند تا رضایت برخی شرکتهای بزرگ نظیر نتفلیکس را جلب کند. طبق این اتهام، اپل از سال ۲۰۱۶ تاکنون برنامهای اختصاصی برای استفاده اپلیکیشنهای استریم ویدئو ارایه کرده است؛ اما اکنون نخستینبار رسما این سرویس را با فرم جدید و با نام Video Partner Program تبلیغ میکند. پاسخ اپل بهدلیل اتحاد بین چندین توسعهدهنده بزرگ برای ایجاد ائتلاف با هدف مبارزه علیه انحصارطلبیهای اپاستور منتشر شده است. درهرصورت، هنوز اتهامها رفع نشدهاند و اپل برای برخی از ایرادهای واردشده باید پاسخ مناسبی ارایه کند؛ هرچند پاسخگویی کمپین روابطعمومی اپل تا حدی از فشارها میکاهد. امکان ارسال پیام بهبودیافته میتواند سبب دلگرمی بیشتر توسعهدهندگان جزئی شود؛ اما ظاهرا اپل قصد ندارد درآمد خود از توسعهدهندگان را کاهش دهد.