جدیدترین اخبار و مقالات دنیای بازی و سینما در ویجیاتو

حفره امنیتی خطرناک به جا مانده از دهه ۹۰ اطلاعات کاربران را به مخاطره می اندازد

تیمی از کریپتوگرافرها یا متخصصین در زمینه ی رمزنگاری، حفره ی امنیتی به جا مانده از دهه نود را کشف کرده اند که کماکان سبب می گردد امنیت کاربران در مقابل حملات سایبری به مخاطره بیافتد.

این حفره که از آن با عبارت FREAK یاد می شود می تواند سبب ایجاد نا امنی برای کاربران مرورگر سافاری در کامپیوترهای مک و ابزارهای مبتنی بر iOS و همینطور کاربران مرورگر پیش فرض ارائه شده بر روی سیستم عامل اندروید گردد، و وقتی این افراد از یک وب سایت مجهز به پروتکل امن SSL بازدید به عمل می آورند اطلاعاتشان مورد سو استفاده قرار گرفته و هک گردد.

در ادامه با دیجیاتو همراه باشید.

تیم محقق مورد اشاره نتایج تحقیقات خود و همینطور فهرستی از سایت هایی که به این آسیب پذیری دچار هستند را در اینترنت منتشر کرده اند. در این فهرست اسامی بسیاری از سایت های دولت ایالات متحده (وب سایت کاخ سفید، پلیس فدرال این کشور و سازمان امنیت ملی آن موسوم به NSA) و حتی نام برخی از موسسات و بانک های ایرانی نیز به چشم می خورد.

ظاهراً آسیب پذیری FREAK در دهه ۹۰ و در هنگام توسعه ی پروتکل امن SSL پدید آمده است. دولت آمریکا در آن بازه ی زمانی از کمپانی های مختلف دست اندرکار در توسعه ی این پروتکل خواسته بود تا از انکریپشن یا شیوه رمز نگاری ضعیف تر ۵۱۲ بیتی برای بازدید کنندگان سایت های مختلف در خارج از این کشور استفاده نمایند و انکریپشنی قوی تر را تنها به کاربران آمریکایی تخصیص دهند.

بر اساس همین درخواست توسعه دهندگان پروتکل امن مورد بحث که همکنون نیز در بسیاری از سایت های مهم و نیازمند امنیت بالا مورد استفاده قرار می گیرد مکانیسیمی را اجرایی کرده اند که این پروتکل در هنگام ضرورت انکریپشن مورد نیاز را بر حسب محل استقرار کاربر (داخل و یا خارج از خاک ایالات متحده) پیاده سازی نماید.

در حالیکه دولت آمریکا پس از مدتی این محدودیت را حذف نموده اما ظاهراً این تصمیم بسیار دیر اتخاذ شده و سبب گشته تا پروتکل مذکور به همان شیوه ی قدیمی بر روی بسیاری از نرم افزارها و وب سایت ها مورد استفاده قرار گیرد.

بر همین اساس تیم محقق مورد اشاره در ابتدای مطلب، طی تحقیقات خود موفق شده اند مرورگرهای وب را وادار نمایند تا از نسخه ی ضعیف تر انکریپشن استفاده نموده و سپس اطلاعات این رمزنگاری را تنها ظرف هفت ساعت و با بهره گیری از قدرت پردازشی ۷۵ کامپیوتر رمزگشایی کرده و به دست آورند.

برای رمز گشایی انکریپشن ۱۰۲۴ بیتی که قبلاً تنها به کاربران حاضر در خاک ایالات متحده اختصاص داشته، نیاز به توان پردازشی میلیون ها کامپیوتر و یکسال زمان است تا امکان دسترسی به اطلاعات رد و بدل شده بر مبنای آن فراهم گردد.

به گفته ی متیو گرین، پروفسور و محقق دانشگاه جان هاپکینس، دولت آمریکا در دهه ی نود به این علت دو شیوه انکریپشن را در پروتکل SSL اعمال کرده بوده که سازمان های امنیتی اش از جمله NSA بتوانند در صورت ضرورت اطلاعات رد و بدل شده بر پایه ی آن را رمزگشایی کرده و به آنها دسترسی پیدا نمایند. در عین حال دولت وقت سعی داشته است با وجود رمزنگاری ضعیف تری که تنها نهادهای خودش می توانسته اند آن را بشکنند کماکان پروتکل مذکور را برای مصارف تجاری  کاربردی و امن جلوه دهد.

وب سایت Engadget در این رابطه می نویسد اگر دولت قبلاً در پشتی را در پروتکلی امن که مورد اطمینان همه بوده است بازگذاشته، بعید نیست الان نیز همین شیوه را در مورد سایت های مختلف و ابزارهای گوناگون امروزی مان هم اتخاذ نموده باشد.

محققین نمی توانند بگویند که این حفره توسط فرد یا افرادی اخیراً مورد استفاده قرار گرفته است و یا خیر، ولی به آسانی توانسته اند بوسیله آن به اطلاعات افراد مختلف دسترسی پیدا کرده و همینطور به وب سایت های آسیب پذیر نفوذ نمایند.

اپل و گوگل هر دو اعلام کرده اند در حال برطرف کردن این آسیب پذیری در مرورگرهای خود هستند. کاربران iOS احتمالاً ظرف هفته ی آینده به روز رسانی مرتبط را دریافت خواهند نمود ولی کاربرانی که از مرورگر پیش فرض اندروید استفاده می نماید بهتر است به سراغ مرورگر گوگل کروم بروند زیرا احتمال دارد رام تلفن های هوشمند آنها دیگر به روز رسانی نشده یا این آپدیت با فاصله ی زمانی قابل توجهی عرضه گردد.

مطالب مرتبط

استفاده از اسکنر عنبیه چشم در گلکسی اس 8 برای پرداخت موبایلی ممکن می شود

روش احراز هویت با استفاده از عنبیه چشم که سامسونگ به تازگی درون گلکسی اس 8 و مدل پلاس آن قرار داده، به زودی برای پرداخت های مالی نیز مورد استفاده قرار خواهد گرفت.طبق گزارش اخیر خبرگزاری کره ای The Korea Herald چند شرکت معتبر ارائه دهنده کارت های اعتباری در این کشور به دنبال پیاده... ادامه مطلب

ورود دو مرحله ای به اکانت گوگل برای کاربران اندروید و iOS ساده تر می شود

غول جستجو امروز اعلام کرد که به زودی فرایند تایید دو مرحله ای برای ورود به اکانت گوگل ساده تر می شود. پییشتر در مرحله دوم این قابلیت امنیتی لازم بود که کد تاییده دریافتی خود را که برای موبایلتان ارسال شده، وارد کنبد. حالا اما روش دیگری هم برای تایید نمودن مرحله دوم اضافه شده که... ادامه مطلب

کشف یک نقص امنیتی در «حالت امن» مرورگر اج مایکروسافت

وقتی در تابستان سال گذشته میلادی مایکروسافت در کنار ویندوز ۱۰ از مرورگر وب جدید خود با نام اج پرده برداشت و قابلیت هایی همانند یکپارچگی با دستیار دیجیتالی کورتانا، «لیست مطالب خواندنی» -یا همان «Reading List»- و حالت مرور امن -یا همان «InPrivate mode»- را به نمایش گذاشت، بسیاری از افراد و کاربران این... ادامه مطلب

اکثریت اپلیکیشن های VPN می توانند منجر به نشت داده کاربران شوند

شاید برای افرادی که به دنبال امنیت بیشتر در فضای وب و یا دسترسی به محتوای مسدود شده هستند، شبکه های خصوصی مجازی یا به اختصار VPNها یک راه حل ایده آل به نظر برسد. نرم افزارهای VPN از کاربران با رمزنگاری کردن ترافیک اینترنت و یا تغییر مسیر آن به داخل کشورهای دیگر محافظت... ادامه مطلب

سرقت ۱۲.۷ میلیون دلار از ۱۴۰۰ دستگاه خودپرداز ژاپنی در ۲ ساعت

در ۱۵ ماه مه، تیمی از هکرها با هماهنگی کامل و در زمان از قبل تعیین شده، اقدام به استفاده از ۱۴۰۰ دستگاه خودپرداز در سراسر کشور ژاپن کردند و در کمتر از ۲ ساعت، مبلغی معادل با ۱۲.۷ میلیون دلار پول نقد از حساب برخی مشتریان بانک ها خارج کردند.مقامات دولتی ژاپن باور دارند که... ادامه مطلب

اسکن مغزی، آینده امنیت گذرواژه ها را رقم خواهد زد

با توجه به سابقه نامطلوب انسان در به خاطر سپردن گذرواژه های طولانی و دشوار و همچنین ناکامی اش در کاربرد پرسش های محرمانه برای حفاظت از اطلاعات خصوصی و شخصی، شاید زمان آن رسیده باشد که تکنولوژی تازه ای جایگزین سیستم ناکارامد فعلی گردد.Brainprint مطالعه ای جدید است که بر واکنش های عصبی افراد به... ادامه مطلب

نظرات ۷

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x