پوشش ویژه دیجیاتو از نمایشگاه CES 2020

هکرها می توانند به اطلاعات شخصی کاربران کامپیوترهای لنوو دسترسی داشته باشند

به تازگی، نوعی آسیب پذیری در یکی از نرم افزار های از پیش بارگزاری شده در کامپیوتر های لنوو یافت شده که دسترسی به داده های ذخیره شده در مرورگر کاربر و جمع آوری کلمات عبور، اطلاعات بانکی و دیگر موارد مشابه را برای هکرها ممکن می سازد.

طبق گزارش های منتشر شده، Superfish، که لنوو وجود آن را به عنوان نوعی ابزار تبلیغاتی در دستگاه هایش تایید کرده، نقش واسطه را در این فرایند ایفا کرده و دسترسی به اطلاعات شخصی را جهت استفاده های تبلیغاتی فراهم می سازد.

در ادامه مطلب با دیجیاتو باشید.

تور کیش

ابزار یاد شده، با در اختیار گرفتن قدرت صدور سرتیفیکت های نامحدود، در هر زمان که نیاز باشد اقدام به نصب پروکسی هایی با توانایی تولید گواهی های SSL جعلی می کند.

گواهی های SSL،‌ فایل هایی کوچک بوده که جهت اثبات معتبر بودن اتصالات ورودی به یک سایت، توسط بانک ها، شبکه های اجتماعی، فروشگاه هایی همچون آمازون و بسیاری دیگر از کمپانی ها مورد استفاده قرار می گیرند.

Superfish با ساخت گواهینامه های جعلی SSL، می تواند فعالیت های تبلیغاتی خود را در اتصالات امن نیز انجام داده و صفحه های حاوی اطلاعات شخصی کاربران را آلوده و مشاهده کند.

Kenn White، متخصص امنیت، امروز، گواهی های پروکسی Superfish را به صورت عملی در یک پست توییتر به نمایش گذاشت.

تصویر منتشر شده توسط وی، گواهینامه ای را نشان می دهد که به جای نماینده ای معتبر مانند VeriSign از طریق Superfish برای Bank of America صادر شده.

Screen Shot 2015-02-19 at 2.12.48 PM-w600

برنامه مورد بحث امکان بررسی ترافیک وب و ارسال آن داده ها برای اهداف تبلیغاتی را دارد و به همین دلیل و فرصتی را برای هکر ها فراهم می آورد تا به اطلاعات منتقل شده از طریق اتصالات به اصطلاح امن دسترسی پیدا کنند؛ برای مثال آدرس فروشگاه های آنلاین و وبسایت های متعلق به بانک با https:// شروع شده و قفلی را در مرورگر کاربر نمایش می دهد.

Untitled

همینکه لنوو و ابزار دردسر سازش از چنین پروکسی هایی جهت مشاهده اطلاعات خصوصی کاربران استفاده می کنند، نگران کننده است اما این همه ماجرا نیست؛ احتمال می رود که شرکت های شخص ثالث نیز به این اطلاعات دست پیدا کنند.

به نظر می رسد Superfish، از کلیدی یکسان برای گواهی های جعلی خود در هر دستگاه استفاده می کند. طبق نظر Eric Rand، یکی از محققان تیم Brown Hat Security  در گفتگو با The Verge: « اگر کسی موفق شود این کلید را تحت کنترل خود درآورد، ساخت گواهی یا بدافزار هایی که مورد اعتماد کامپیوتر های لنوو قرار دارند، امکان پذیر خواهد بود.»

این کمپانی ابزار مورد بحث را برای مدت کوتاهی در ماه ژانویه از محصولات خود حذف کرد، اما در دفاع از کارکرد آن، ادعا کرد که Superfish نه به مشاهده و ثبت فعالیت های کاربران می پردازد و نه اطلاعات آن ها را ضبط می کند.

کمپانی یاد شده اشاره کرد که قوانین استفاده و سیاست های حریم خصوصی، زمانی که برای نخستین بار از یکی از محصولات آن استفاده می کنند در اختیار کاربر قرار می گیرد.

وی در ادامه گفت که کاربران حتی امکان غیرفعال کردن این قابلیت را دارند؛ این در حالی است که خریداران محصولات لنوو دریافته اند که حذف این نرم افزار، امکان تولید گواهی های جعلی را از بین نمی برد.

Screen Shot 2015-02-19 at 2.13.02 PM-w600

گفتنی است که Superfish به تازگی، در لیست کمپانی های در حال رشد ایالات متحده، رتبه چهارم را به خود اختصاص داده بود.

یکی از نرم افزار های تولیدی این کمپانی، تصاویر مشاهده شده توسط شما را بررسی کرده و بیش از ۷۰۰۰۰ فروشگاه را برای محصولات مشابه با قیمتی پایین تر جستجو می کند.

این کمپانی رو به رشد، خود را پیشگام صنعت تکنولوژی جستجوی بصری می داند اما همانطور که احتمالا تا به حال دریافته اید، کاربران لنوو با سیاست های کاری آن موافق نیستند.

لنوو در اظهار نظری به وبسایت ورج گفت که مشغول بررسی و حل مشکلات امنیتی گزارش شده است.

مدتی پیش، در اوایل سال جاری میلادی، باور لنوو آن بود که این تکنولوژی کاملا بی ضرر است؛ اما به نظر می آید که تلاش آن در پنهان کردن شکاف امنتی ذکر شده که ظاهرا در تمامی محصولاتش به چشم می خورد، کاملا ناموفق بوده است. نظر شما چیست؟

مطالب مرتبط

چرا اینترنت کوانتومی را باید در فضا توسعه داد؟

اینترنت کوانتومی یکی از رؤیاهای طرفداران تکنولوژی بوده و در آن با بهره برداری از خصوصیات کوانتومی عجیب فوتون ها و الکترون ها، پیام ها به شکل کاملاً امن ارسال می شوند.خصوصیت فوق سبب می شود تا دولت ها، ارتش ها، بانک ها و مؤسسات مالی برای امن کردن تمام امورات خود از جمله قراردادها... ادامه مطلب

دلیل افشای تصاویر دوربین های امنیتی شیائومی چه بود؟

دوربین های امنیتی شیائومی به واسطه کارایی مطلوب و قیمت مقرون به صرفه طرفداران زیادی برای خود دست و پا کرده اند اما اخیرا باگ های وحشتناکی در آن ها رویت شد که امنیت این دستگاه ها را زیر سوال می برد.یکی از کاربران ردیت تصاویری را در این سایت پست کرده که حاکی از... ادامه مطلب

گوگل دسترسی محصولات شیائومی به نست هاب را به خاطر باگ امنیتی قطع کرد

گوگل پس از گزارش یکی از کاربران مبنی بر مشاهده تصاویری از خانه افراد غریبه، دسترسی دیوایس های شیائومی به گوگل نست هاب و گوگل اسیستنت را قطع کرد.یکی از کاربران سایت ردیت گزارش کرد که حین تلاش برای استریم ویدیو از دوربین نظارتی Xiaomi Mijia 1080p Smart IP به گوگل نست هاب، با تصاویری... ادامه مطلب

مایکروسافت 50 دامنه مربوط به هکرهای کره شمالی را از دسترس خارج کرد

مایکروسافت 50 دامنه را که توسط هکرهای کره شمالی برای اقدامات خرابکارانه مورد استفاده قرار می گرفتند از دسترس خارج کرد.غول نرم افزاری می گوید یک گروه هکری به نام Thallium (که با نام APT37 نیز شناخته می شود)، از 50 دامنه مذکور برای حملات سایبری استفاده می کرده است. مایکروسافت ادامه می دهد که... ادامه مطلب

نظریه آشوب در دنیای فناوری؛ اولین چیپ رمزنگاری غیرقابل هک ساخته شد

هرچند سیستم های رمزنگاری کنونی بسیار قدرتمند بوده و هکرها به آسانی قادر به عبور از سدها آنها نیستند اما با ورود ماشین های کوانتومی به بازی شرایط تغییر خواهد کرد. محققان از مدت ها قبل در پی توسعه سیستم های رمزنگاری هستند که حتی در دنیای کوانتوم هم نتوان آنها را در هم شکست... ادامه مطلب

شکایت از آمازون و Ring به خاطر هک دوربین‌های امنیتی

در پی نفوذ هکرها به هزاران دوربین امنیتی Ring ، شکایتی علیه این کمپانی و آمازون ثبت شده که آنها را به سهل انگاری در برابر مهاجمان متهم می کند.ماه گذشته هکرها با توسل به روش Stuffing ده ها هزار نام کاربری و رمز عبور دوربین امنیتی Ring را به سرقت برده و در دارک وب منتشر کردند. حالا یکی از قربانیان... ادامه مطلب

ویجیاتو

نظرات ۱۶

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x

رمزتان را گم کرده‌اید؟