خلال الأسبوع الماضي ، تم التقاط ثلاثة أخبار عن ثغرات أمنية غير تافهة في وقت واحد. هذا العام لدينا بالفعل
مشكلة حول هذا الموضوع ، ثم درسنا فشل محركات الأقراص الصلبة بمساعدة
صراخ الصوت وسرقة البيانات الشخصية من خلال خطأ في CSS. سنتحدث اليوم عن ميزات التعرف على بصمات الأصابع في الهواتف الذكية التي تعمل بنظام Android ، والهجوم على GMail من خلال مكان واحد ، وقتل Skype باستخدام الرموز التعبيرية.
لنبدأ ببصمات الأصابع. يعد الماسح الضوئي لبصمات الأصابع في الهواتف الذكية أحد الميزات القليلة للأجهزة الحديثة التي تجعل الحياة أكثر راحة. يوفر حماية معقولة لهاتفك من العبث ويسمح لك بفتح الجهاز بلمسة واحدة. لم يقرر مصنعو الهواتف الذكية بعد موقع الماسح الضوئي: اعتمادًا على النموذج ، فإنه ينتقل من اللوحة الأمامية إلى اللوحة الجانبية ، ويتحرك حول الكاميرا ، وتقطع Apple الماسح الضوئي تمامًا لصالح التعرف على الوجوه. اكتشف باحثون صينيون من شركة Tencent ثغرة أمنية في أحدث إصدار من الماسح الضوئي لبصمات الأصابع ، والذي يقع أسفل الشاشة مباشرة.
يدعي ممثلو Xuanwu Lab ، إحدى الوحدات البحثية في Tencent ، أن جميع الهواتف المزودة بجهاز مسح بصمات الأصابع تحت الشاشة معرضة تمامًا ، (
الأخبار ). هذه هي أحدث الموديلات ، ومن المتوقع أن تكون هذه التقنية في العام القادم على جميع الرائد. من بين الهواتف الذكية الضعيفة Huawei Mate 20 Pro و Porsche Design Mate RS ، لكن الشركة المصنعة قد أصدرت بالفعل تصحيحات لهذه الأجهزة. لم يتم تأكيد الثغرة الأمنية في الموديلات الأخرى (تحتوي Vivo و OnePlus و Xiaomi على هواتف بها ماسح ضوئي في الشاشة) ، ولكن لم يتم دحضها أيضًا.
تعمل جميع الماسحات الضوئية الموجودة من هذا النوع جنبًا إلى جنب مع الشاشة. عندما يضع المرتدي إصبعًا على الشاشة ، تبرز الشاشة السطح ، وتقوم أجهزة الاستشعار البصرية المصغرة بتحليل بصمة الإصبع. كانت المشكلة هي بالضبط طريقة التعرف الضوئي ، مختلفة عن أجهزة الاستشعار السعوية المستخدمة في الماسحات الضوئية التقليدية. لقد تبين أن المستشعر البصري ، كما اتضح ، حساس بما فيه الكفاية بحيث لا يتعرف على إصبع ، بل بصمة على سطح الشاشة. ونتيجة لذلك ، يعد اختراق الهاتف أمرًا بسيطًا: نحن في انتظار المالك لوضع إصبعه على الشاشة ، واختيار الهاتف ، وتطبيق قطعة من الرقاقة على بصمة الإصبع التي بقيت على الشاشة - وهنا لدينا ترخيص. في حالة Huawei ، كان من السهل حل المشكلة: قاموا بتحديث خوارزمية التعرف ، على ما يبدو ، خفض الحساسية.
Gmail - spoiler - غير مخترق. اكتشف الباحث تيم كوتين الأسبوع الماضي (
أخبار ،
مشاركة مدونة متخصصة ) طريقة لوضع الرسائل في مجلد العناصر المرسلة. بدأ كل شيء بحقيقة أن تيم وجد في رسائل مجلد العناصر المرسلة التي لم يرسلها بوضوح. كما اتضح ، إذا ، عند إرسال رسالة ، أشر في المعلومات حول المرسل إلى البريد الإلكتروني للمستلم ، فإن GMail سيضع الرسالة تلقائيًا في المجلد المناسب.
يشار إلى أن GMail نفسها لا تسمح بإرسال الرسائل إذا كان اسم المرسل يحتوي على عنوان بريد إلكتروني. ولكن عندما تصل مثل هذه الرسائل ويتطابق العنوان باسم المرسل مع عنوان المستلم ، تظهر في المجلد مع الرسائل المرسلة. قد يكون هذا أمرًا محيرًا على الأقل ، ولكن مثل هذه الحيلة الصعبة يمكن أن تزيد أيضًا من فرص قيام مستخدم قليل الخبرة بفتح رابط ضار من بريد إلكتروني ، محاولًا فهم ما أرسله.
اكتشف الباحث نفسه لاحقًا أنه إذا حاولت إدراج علامات html في اسم المرسل ، يمكنك تحقيق رسالة في البريد الوارد ليس بها مرسل على الإطلاق.
أخيرًا ،
وجد SEC Consult Vulnerability Lab خطأً مثيرًا للاهتمام في Skype (الآن نعرف من يستخدمه!). بالتأكيد ، تستخدم بعض إصدارات المراسلة بعض الخوارزميات المعقدة للغاية لعرض الرموز التعبيرية ، لذلك لم يكن من الصعب إنشاء هجوم DoS على عميل Skype. بدأ الباحثون ببساطة في إرسال الرموز التعبيرية في العديد من القطع في وقت واحد ، وعندما وصل عددهم في رسالة واحدة إلى مئات ، بدأ العميل في التباطؤ بشكل ملحوظ.
ثمانمائة "قطة صغيرة" - ويتجمد التطبيق لبضع ثوان. إذا واصلت إرسال الرموز التعبيرية ، فيمكنك تعطيل العميل لفترة طويلة. تتأثر نقاط الضعف فقط ببعض إصدارات عملاء Skype for Business 2016 ، وكذلك سلف Microsoft Lync 2013. تم إغلاق الثغرة الأمنية هذا الأسبوع ، ولكن حقيقة اكتشاف مثل هذه المشكلة في إصدارات الأعمال من Skype تخبرنا ماذا؟ أن العواطف ليس لها مكان في العمل! بالمناسبة ، جنبًا إلى جنب مع Skype العاطفي ، أغلقت Microsoft ثغرة أكثر خطورة في Windows 7 32 بت ،
اكتشفها سابقًا خبراء Kaspersky Lab استنادًا إلى تحليل هجوم إلكتروني حقيقي.
إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق دائمًا مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بتشكك صحي.