logo
ENFRع
ثغرة تتــــيح سرقة بيـــانات الهاتف

ثغرة تتــــيح سرقة بيـــانات الهاتف

جريدة الوطنمنذ 3 أيام
اكتشف باحثون أمنيون وجود ثغرة في أجهزة «آبل» وأنظمة «أندرويد» تتيح سرقة البيانات عبر منفذ الشحن من دون تدخل من المستخدم، وذلك وفق تقرير نشره موقع «أندرويد أثورتي» التقني.
وتمكن الباحثون في جامعة غراتس للتكنولوجيا بالنمسا من الوصول إلى هذه الثغرة في دراسة بحثية يقومون بها، واستطاعوا تخطي القيود الموضوعة على منافذ الشحن في الهواتف ومحاكاة تصرفات المستخدم، حسب التقرير.
ويزعم الباحثون أنهم تمكنوا من تقليد تصرفات المستخدم وخداع نظام الهاتف للانتقال بين وضع الشحن ونقل البيانات ثم استخدام أوامر النظام لسرقة البيانات كما ورد في التقرير.
وتعمل الثغرة بآلية مختلفة في أنظمة «آي أو إس» و«أندرويد»، إذ تستغل في أندرويد صلاحيات الاتصال بأجهزة التحكم الخارجية وهي صلاحية مبنية بشكل افتراضي داخل أنظمة «أندرويد»، حسب ما جاء في التقرير.
وفي «آي أو إس» تستغل الثغرة إمكانية إنشاء اتصال «بلوتوث» لاسلكي مع الملحقات الخارجية، ورغم أن الهاتف يتعرف على الجهاز الخارجي كأنه سماعة، فإنه قد يكون حاسوبا يحاول الوصول إلى بيانات المستخدم وفق التقرير.
ويؤكد الفريق أن هذه الثغرة تعمل في 8 من أبرز أنواع الهواتف المتاحة في الأسواق، بدءا من «شاومي» (Xiaomi) حتى «سامسونغ» و«غوغل» و«آبل»، كما تواصل الفريق معها جميعا.
وتعيد هذه الثغرة إلى الذاكرة ثغرة أخرى كانت تعتمد على توصيل الهواتف بمنافذ الشحن العمومية ثم استغلالها للانتقال إلى بيانات الهاتف وسرقتها، لكن هذه الثغرة أغلقت منذ مدة طويلة من كافة الشركات كما أشار التقرير.
ويوضح الفريق البحثي أن 6 من أصل 8 شركات تواصلوا معهم قاموا بإصلاح هذه الثغرة بالفعل أو في طور إصلاحها عبر التحديثات، حسب ما جاء في تقرير موقع «أندرويد آثورتي».
وينصح الموقع المستخدمين بتجنب استخدام الملحقات العامة على الإطلاق حتى إن تم إصلاح الثغرة وإرسال تحديث ملائم لها، إذ يشير التقرير إلى أن الوقاية خير من العلاج.
وكان باحثون أمنيون في شركة الأمن السيبراني «تارلوجيك» (Tarlogic) كشفوا، في مارس الماضي، عن ثغرة مخفية داخل شرائح البلوتوث المثبتة في ملايين الأجهزة حول العالم، والتي يمكن استغلالها في الوصول إلى بيانات الأجهزة دون إذن، وفقا لتقرير نشره موقع «ماشبل».
ويمكن للقراصنة استخدام هذه الثغرة في هجوم انتحال جهاز موثوق والاتصال بالهواتف الذكية والحواسيب والأجهزة الأخرى، مما يتيح لهم الوصول إلى البيانات المخزنة على الجهاز، كما يمكن استغلال هذه الثغرة والاتصال بشكل كامل بالجهاز للتجسس على المستخدمين.
وتوجد هذه الثغرة في شريحة البلوتوث «إي إس بي32» (ESP32) المصنعة من قبل الشركة الصينية «إسبريسف» (Espressif)، وبحسب الباحثين فإن شريحة «إي إس بي32» تتيح الاتصال بشبكة بلوتوث بالإضافة إلى شبكة واي فاي. وفي عام 2023 أفادت شركة إسبريسف بأنها باعت مليار وحدة من شريحتها على مستوى العالم، وتستخدم ملايين الأجهزة بما في ذلك الأجهزة المنزلية الذكية هذه الشريحة بالتحديد.
ويقول باحثو تارلوجيك إن هذه الثغرة عبارة عن أمر مخفي في القاعدة البرمجية للشريحة يمكن استغلاله، مما يسمح للقراصنة بإجراء هجمات انتحال وإصابة الأجهزة الحساسة بشكل دائم مثل الهواتف المحمولة والحواسيب والأقفال الذكية وحتى المعدات الطبية، وذلك من خلال تجاوز تدقيق التعليمات البرمجية. وأضاف الباحثون أن هذه الأوامر غير مسجلة بشكل علني في شركة إسبريسف.
وقد طور باحثو تارلوجيك أداة جديدة لبرنامج تشغيل البلوتوث بهدف المساعدة في أبحاث الأمان المتعلقة بالبلوتوث، وهذا كان له الدور الكبير في اكتشاف 29 وظيفة مخفية يمكن استغلالها لانتحال أجهزة معروفة والوصول إلى البيانات المخزنة على الأجهزة.
يُذكر أن شرائح «إي إس بي32» تباع بحوالي دولارين فقط، مما يفسر استخدام العديد من الأجهزة لهذه الشرائح بدلا من الخيارات الأعلى تكلفة.
وسرقة البيانات هي عملية سرقة معلومات رقمية مخزنة على الأجهزة للحصول على معلومات سرية أو انتهاك الخصوصية. يمكن أن تكون البيانات المسروقة أي شيء: من معلومات الحساب المصرفي إلى كلمات المرور على الإنترنت ورقم جواز السفر ورقم رخصة القيادة ورقم الضمان الاجتماعي والسجلات الطبية والاشتراكات عبر الإنترنت... وما إلى ذلك. بمجرد وصول شخص غير مصرح له إلى معلومات شخصية أو مالية يمكنه حذفها أو تغييرها أو منع الوصول إليها بدون إذن المالك.
تحدث سرقة البيانات في العادة بسبب رغبة جهات ضارة في بيع المعلومات أو استخدامها في سرقة الهوية. إذا تمكن لصوص البيانات من سرقة معلومات كافية، يمكنهم استخدامها للوصول إلى حسابات آمنة أو إصدار بطاقات ائتمان باستخدام اسم الضحية أو استخدام هوية الضحية بطريقة أخرى لصالح أنفسهم. كانت سرقة البيانات في وقتٍ من الأوقات مشكلة كبيرة للشركات والمؤسسات، ولكن ازداد الوضع سوءًا وصارت الآن مشكلة متنامية للأفراد كذلك.
كلمة «سرقة» في مصطلح سرقة البيانات لا تعني حرفيًا أخذ معلومات بعيدًا عن الضحية أو نزعها منه، بل ما يحدث عند سرقة البيانات هو أن المهاجم بكل بساطة ينسخ المعلومات كي يستخدمها هو بنفسه.
يمكن استخدام مصطلحات «انتهاك البيانات» وأيضًا «تسرب البيانات» بشكل تبادلي عند مناقشة سرقة البيانات، لكنهما في الحقيقة مختلفان:
يحدث تسرب البيانات عندما يتم الكشف عن بيانات حساسة عن طريق الخطأ، سواء على الإنترنت أو عبر محرك أقراص صلبة ضائع أو أجهزة مفقودة. يوفر هذا للمجرمين الإلكترونيين إمكانية الوصول بشكل غير مصرح به إلى بيانات حساسة بدون أي جهد من جانبهم.
وعلى النقيض، انتهاك البيانات يشير إلى هجمات إلكترونية متعمدة.
تحدث سرقة البيانات أو السرقة الرقمية عبر مجموعة من الطرق. وفيما يلي بعض الطرق الأكثر شيوعًا:
الشكل الأكثر شيوعًا من الهندسة الاجتماعية هو التصيد الاحتيالي. يحدث التصيد الاحتيالي عندما يتنكر محتال في هيئة جهة موثوقة لخداع الضحية وجعله يفتح رسالة بريد إلكتروني أو رسالة نصية أو رسالة فورية تحتوي على تطبيق خبيث، والأشخاص الذين يقعون ضحية لهجمات التصيد الاحتيالي من أهم أسباب سرقة الهوية، أو استخدام كلمة مرور سهل تخمينها أو استخدام كلمة مرور واحدة لعدة حسابات مختلفة يمكن أن يوفر للمهاجمين فرصة للوصول إلى بياناتك. توجد عادات تؤدي إلى إمكانية كشف كلمة المرور بسهولة، مثل كتابة كلمة المرور على قطعة ورق أو مشاركتها مع الآخرين، ومن ثم يمكن أن يؤدي هذا بدوره إلى سرقة البيانات.
كما تؤدي تطبيقات البرامج أو أنظمة الشبكات المكتوبة بشكل سيئ والتي يتم تصميمها أو تنفيذها بشكل سيئ إلى إيجاد ثغرات أمنية يمكن للصوص استغلالها واستخدامها في سرقة البيانات. برامج مكافحة الفيروسات التي لم يتم تحديثها يمكن هي أيضًا أن تشكِّل ثغرات أمنية.
وهناك التهديدات الداخلية، كأن يكون الموظفون الذين يعملون في شركة يملكون حق الوصول إلى المعلومات الشخصية للعملاء، وبهذا يمكن للموظفين المحتالين أو المتعاقدين الساخطين نسخ البيانات أو تعديلها أو سرقتها. رغم هذا، لا تقتصر التهديدات الداخلية بالضرورة على الموظفين الحاليين، بل يمكن أن تشمل كذلك الموظفين والمتعاقدين السابقين أو شركاء سابقين يملكون حق الوصول إلى أنظمة الشركة أو معلومات حساسة. تزعم الكثير من التقارير أن التهديدات الداخلية في ازدياد مطرد.
وليس من اللازم أن تكون انتهاكات البيانات بسبب هجوم خبيث، بل أحيانًا ما تحدث بسبب حدوث خطأ بشري. تشمل الأخطاء الشائعة إرسال معلومات حساسة إلى الشخص الخطأ، مثل إرسال رسالة بريد إلكتروني عن طريق الخطأ إلى عنوان بريدي غير صحيح أو إرفاق مستند خاطئ أو تسليم ملف ورقي إلى شخص لا ينبغي له أن يكون لديه حق الوصول إلى المعلومات الواردة فيه. يمكن أيضًا أن يتضمن الخطأ البشري تكوينًا خاطئًا، مثل ترك الموظف لقاعدة بيانات تحتوي على معلومات حساسة عبر الإنترنت دون أي قيود على كلمة المرور.

هاشتاغز

Orange background

جرب ميزات الذكاء الاصطناعي لدينا

اكتشف ما يمكن أن يفعله Daily8 AI من أجلك:

التعليقات

لا يوجد تعليقات بعد...

أخبار ذات صلة

شاهد .. مميزات ثورية لتطبيق الدردشة 'بت شات' بدون إنترنت
شاهد .. مميزات ثورية لتطبيق الدردشة 'بت شات' بدون إنترنت

الراية

timeمنذ يوم واحد

  • الراية

شاهد .. مميزات ثورية لتطبيق الدردشة 'بت شات' بدون إنترنت

شاهد .. مميزات ثورية لتطبيق الدردشة "بت شات" بدون إنترنت الدوحة - موقع الراية: أعلن جاك دورسي مؤسس ومالك تويتر سابقا عن إطلاق النسخة الأولى من تطبيق الدردشة الثوري الخاص به "بت شات" (Bitchat) في تغريدة عبر حسابه الخاص في منصة إكس. وجاء طرح النسخة الأولى من التطبيق عبر متجر آبل للتطبيقات ليكون حصريا في البداية لأجهزة آيفون مع توقعات بوصوله إلى أجهزة أندرويد قريبا، ليبدأ بذلك عصر جديد من التواصل عبر الإنترنت، ولكن لماذا هذا الاختلاف؟ يعتمد تطبيق "بت شات" على مفهوم الشبكات اللامركزية والبلوكتشين لتصبح المنصة غير مملوكة لجهة بعينها، فضلا عن أنها لا تحتاج إلى استخدام الإنترنت على الإطلاق من أجل نقل الرسائل والملفات بين المستخدمين. ويستبدل تطبيق دورسي الجديد الإنترنت بشبكات البلوتوث منخفضة الطاقة، وذلك عبر تشكيل إشارة شبكية بين الأجهزة المختلفة التي تستخدم تقنيات البلوتوث لنقل الرسائل بين أطراف المحادثة، وذلك في دائرة قطرها 3.2 كيلومتر كما جاء في تقرير موقع "ذا ستريت" عن التطبيق. ويضم التطبيق أيضا مجموعة من معايير الأمان، مثل التشفير ثنائي الأطراف دون الحاجة لأسماء مستخدمين أو أرقام هواتف، فضلا عن عدم تخزين الرسائل في أي هاتف لأكثر من 12 ساعة ودون حفظها في خوادم الشركة. ويستطيع التطبيق إرسال الملفات والصور ومقاطع الفيديو كما أشار بيان دورسي للإعلان عن المنصة مع إمكانية ربط المحافظ الرقمية به مباشرة لإرسال الأموال واستقبالها عبر التطبيق، مما يوسع استخداماته ويجعله أشبه بتطبيق خارق رغم أن دورسي يزعم أنه مصمم لمواجهة واتساب. كيفية استخدام "بت شات" يمكن استخدام التطبيق بعد تثبيته مباشرة دون الحاجة لإنشاء حساب داخل التطبيق أو حتى ربطه بأي خدمة أخرى، فبمجرد تحميل تطبيق وفتحه تجد أمامك الواجهة الرئيسية للتطبيق، وهي عبارة عن شاشة سوداء فيها نصوص خضراء تمثل الرسائل. ويختلف استخدام "بت شات" قليلا عن استخدام تطبيقات الدردشة المعتادة مثل واتساب أو تليجرام، إذ تمثل الواجهة الرئيسية للتطبيق غرفة دردشة واسعة يمكن لأي شخص يملك التطبيق وقام بتحميله إرسال رسائل عامة إليه بشكل يشبه غرف الدردشة العامة القديمة.

ثغرة تتــــيح سرقة بيـــانات الهاتف
ثغرة تتــــيح سرقة بيـــانات الهاتف

جريدة الوطن

timeمنذ 3 أيام

  • جريدة الوطن

ثغرة تتــــيح سرقة بيـــانات الهاتف

اكتشف باحثون أمنيون وجود ثغرة في أجهزة «آبل» وأنظمة «أندرويد» تتيح سرقة البيانات عبر منفذ الشحن من دون تدخل من المستخدم، وذلك وفق تقرير نشره موقع «أندرويد أثورتي» التقني. وتمكن الباحثون في جامعة غراتس للتكنولوجيا بالنمسا من الوصول إلى هذه الثغرة في دراسة بحثية يقومون بها، واستطاعوا تخطي القيود الموضوعة على منافذ الشحن في الهواتف ومحاكاة تصرفات المستخدم، حسب التقرير. ويزعم الباحثون أنهم تمكنوا من تقليد تصرفات المستخدم وخداع نظام الهاتف للانتقال بين وضع الشحن ونقل البيانات ثم استخدام أوامر النظام لسرقة البيانات كما ورد في التقرير. وتعمل الثغرة بآلية مختلفة في أنظمة «آي أو إس» و«أندرويد»، إذ تستغل في أندرويد صلاحيات الاتصال بأجهزة التحكم الخارجية وهي صلاحية مبنية بشكل افتراضي داخل أنظمة «أندرويد»، حسب ما جاء في التقرير. وفي «آي أو إس» تستغل الثغرة إمكانية إنشاء اتصال «بلوتوث» لاسلكي مع الملحقات الخارجية، ورغم أن الهاتف يتعرف على الجهاز الخارجي كأنه سماعة، فإنه قد يكون حاسوبا يحاول الوصول إلى بيانات المستخدم وفق التقرير. ويؤكد الفريق أن هذه الثغرة تعمل في 8 من أبرز أنواع الهواتف المتاحة في الأسواق، بدءا من «شاومي» (Xiaomi) حتى «سامسونغ» و«غوغل» و«آبل»، كما تواصل الفريق معها جميعا. وتعيد هذه الثغرة إلى الذاكرة ثغرة أخرى كانت تعتمد على توصيل الهواتف بمنافذ الشحن العمومية ثم استغلالها للانتقال إلى بيانات الهاتف وسرقتها، لكن هذه الثغرة أغلقت منذ مدة طويلة من كافة الشركات كما أشار التقرير. ويوضح الفريق البحثي أن 6 من أصل 8 شركات تواصلوا معهم قاموا بإصلاح هذه الثغرة بالفعل أو في طور إصلاحها عبر التحديثات، حسب ما جاء في تقرير موقع «أندرويد آثورتي». وينصح الموقع المستخدمين بتجنب استخدام الملحقات العامة على الإطلاق حتى إن تم إصلاح الثغرة وإرسال تحديث ملائم لها، إذ يشير التقرير إلى أن الوقاية خير من العلاج. وكان باحثون أمنيون في شركة الأمن السيبراني «تارلوجيك» (Tarlogic) كشفوا، في مارس الماضي، عن ثغرة مخفية داخل شرائح البلوتوث المثبتة في ملايين الأجهزة حول العالم، والتي يمكن استغلالها في الوصول إلى بيانات الأجهزة دون إذن، وفقا لتقرير نشره موقع «ماشبل». ويمكن للقراصنة استخدام هذه الثغرة في هجوم انتحال جهاز موثوق والاتصال بالهواتف الذكية والحواسيب والأجهزة الأخرى، مما يتيح لهم الوصول إلى البيانات المخزنة على الجهاز، كما يمكن استغلال هذه الثغرة والاتصال بشكل كامل بالجهاز للتجسس على المستخدمين. وتوجد هذه الثغرة في شريحة البلوتوث «إي إس بي32» (ESP32) المصنعة من قبل الشركة الصينية «إسبريسف» (Espressif)، وبحسب الباحثين فإن شريحة «إي إس بي32» تتيح الاتصال بشبكة بلوتوث بالإضافة إلى شبكة واي فاي. وفي عام 2023 أفادت شركة إسبريسف بأنها باعت مليار وحدة من شريحتها على مستوى العالم، وتستخدم ملايين الأجهزة بما في ذلك الأجهزة المنزلية الذكية هذه الشريحة بالتحديد. ويقول باحثو تارلوجيك إن هذه الثغرة عبارة عن أمر مخفي في القاعدة البرمجية للشريحة يمكن استغلاله، مما يسمح للقراصنة بإجراء هجمات انتحال وإصابة الأجهزة الحساسة بشكل دائم مثل الهواتف المحمولة والحواسيب والأقفال الذكية وحتى المعدات الطبية، وذلك من خلال تجاوز تدقيق التعليمات البرمجية. وأضاف الباحثون أن هذه الأوامر غير مسجلة بشكل علني في شركة إسبريسف. وقد طور باحثو تارلوجيك أداة جديدة لبرنامج تشغيل البلوتوث بهدف المساعدة في أبحاث الأمان المتعلقة بالبلوتوث، وهذا كان له الدور الكبير في اكتشاف 29 وظيفة مخفية يمكن استغلالها لانتحال أجهزة معروفة والوصول إلى البيانات المخزنة على الأجهزة. يُذكر أن شرائح «إي إس بي32» تباع بحوالي دولارين فقط، مما يفسر استخدام العديد من الأجهزة لهذه الشرائح بدلا من الخيارات الأعلى تكلفة. وسرقة البيانات هي عملية سرقة معلومات رقمية مخزنة على الأجهزة للحصول على معلومات سرية أو انتهاك الخصوصية. يمكن أن تكون البيانات المسروقة أي شيء: من معلومات الحساب المصرفي إلى كلمات المرور على الإنترنت ورقم جواز السفر ورقم رخصة القيادة ورقم الضمان الاجتماعي والسجلات الطبية والاشتراكات عبر الإنترنت... وما إلى ذلك. بمجرد وصول شخص غير مصرح له إلى معلومات شخصية أو مالية يمكنه حذفها أو تغييرها أو منع الوصول إليها بدون إذن المالك. تحدث سرقة البيانات في العادة بسبب رغبة جهات ضارة في بيع المعلومات أو استخدامها في سرقة الهوية. إذا تمكن لصوص البيانات من سرقة معلومات كافية، يمكنهم استخدامها للوصول إلى حسابات آمنة أو إصدار بطاقات ائتمان باستخدام اسم الضحية أو استخدام هوية الضحية بطريقة أخرى لصالح أنفسهم. كانت سرقة البيانات في وقتٍ من الأوقات مشكلة كبيرة للشركات والمؤسسات، ولكن ازداد الوضع سوءًا وصارت الآن مشكلة متنامية للأفراد كذلك. كلمة «سرقة» في مصطلح سرقة البيانات لا تعني حرفيًا أخذ معلومات بعيدًا عن الضحية أو نزعها منه، بل ما يحدث عند سرقة البيانات هو أن المهاجم بكل بساطة ينسخ المعلومات كي يستخدمها هو بنفسه. يمكن استخدام مصطلحات «انتهاك البيانات» وأيضًا «تسرب البيانات» بشكل تبادلي عند مناقشة سرقة البيانات، لكنهما في الحقيقة مختلفان: يحدث تسرب البيانات عندما يتم الكشف عن بيانات حساسة عن طريق الخطأ، سواء على الإنترنت أو عبر محرك أقراص صلبة ضائع أو أجهزة مفقودة. يوفر هذا للمجرمين الإلكترونيين إمكانية الوصول بشكل غير مصرح به إلى بيانات حساسة بدون أي جهد من جانبهم. وعلى النقيض، انتهاك البيانات يشير إلى هجمات إلكترونية متعمدة. تحدث سرقة البيانات أو السرقة الرقمية عبر مجموعة من الطرق. وفيما يلي بعض الطرق الأكثر شيوعًا: الشكل الأكثر شيوعًا من الهندسة الاجتماعية هو التصيد الاحتيالي. يحدث التصيد الاحتيالي عندما يتنكر محتال في هيئة جهة موثوقة لخداع الضحية وجعله يفتح رسالة بريد إلكتروني أو رسالة نصية أو رسالة فورية تحتوي على تطبيق خبيث، والأشخاص الذين يقعون ضحية لهجمات التصيد الاحتيالي من أهم أسباب سرقة الهوية، أو استخدام كلمة مرور سهل تخمينها أو استخدام كلمة مرور واحدة لعدة حسابات مختلفة يمكن أن يوفر للمهاجمين فرصة للوصول إلى بياناتك. توجد عادات تؤدي إلى إمكانية كشف كلمة المرور بسهولة، مثل كتابة كلمة المرور على قطعة ورق أو مشاركتها مع الآخرين، ومن ثم يمكن أن يؤدي هذا بدوره إلى سرقة البيانات. كما تؤدي تطبيقات البرامج أو أنظمة الشبكات المكتوبة بشكل سيئ والتي يتم تصميمها أو تنفيذها بشكل سيئ إلى إيجاد ثغرات أمنية يمكن للصوص استغلالها واستخدامها في سرقة البيانات. برامج مكافحة الفيروسات التي لم يتم تحديثها يمكن هي أيضًا أن تشكِّل ثغرات أمنية. وهناك التهديدات الداخلية، كأن يكون الموظفون الذين يعملون في شركة يملكون حق الوصول إلى المعلومات الشخصية للعملاء، وبهذا يمكن للموظفين المحتالين أو المتعاقدين الساخطين نسخ البيانات أو تعديلها أو سرقتها. رغم هذا، لا تقتصر التهديدات الداخلية بالضرورة على الموظفين الحاليين، بل يمكن أن تشمل كذلك الموظفين والمتعاقدين السابقين أو شركاء سابقين يملكون حق الوصول إلى أنظمة الشركة أو معلومات حساسة. تزعم الكثير من التقارير أن التهديدات الداخلية في ازدياد مطرد. وليس من اللازم أن تكون انتهاكات البيانات بسبب هجوم خبيث، بل أحيانًا ما تحدث بسبب حدوث خطأ بشري. تشمل الأخطاء الشائعة إرسال معلومات حساسة إلى الشخص الخطأ، مثل إرسال رسالة بريد إلكتروني عن طريق الخطأ إلى عنوان بريدي غير صحيح أو إرفاق مستند خاطئ أو تسليم ملف ورقي إلى شخص لا ينبغي له أن يكون لديه حق الوصول إلى المعلومات الواردة فيه. يمكن أيضًا أن يتضمن الخطأ البشري تكوينًا خاطئًا، مثل ترك الموظف لقاعدة بيانات تحتوي على معلومات حساسة عبر الإنترنت دون أي قيود على كلمة المرور.

ثغرة تتيح سرقة بيانات الهاتف من دون علم المستخدم
ثغرة تتيح سرقة بيانات الهاتف من دون علم المستخدم

الجزيرة

timeمنذ 3 أيام

  • الجزيرة

ثغرة تتيح سرقة بيانات الهاتف من دون علم المستخدم

اكتشف باحثون أمنيون وجود ثغرة في أجهزة " آبل" وأنظمة "أندرويد" تتيح سرقة البيانات عبر منفذ الشحن من دون تدخل من المستخدم، وذلك وفق تقرير نشره موقع "أندرويد أثورتي" التقني. وتمكن الباحثون في جامعة غراتس للتكنولوجيا بالنمسا من الوصول إلى هذه الثغرة في دراسة بحثية يقومون بها، واستطاعوا تخطي القيود الموضوعة على منافذ الشحن في الهواتف ومحاكاة تصرفات المستخدم، حسب التقرير. ويزعم الباحثون أنهم تمكنوا من تقليد تصرفات المستخدم وخداع نظام الهاتف للانتقال بين وضع الشحن ونقل البيانات ثم استخدام أوامر النظام لسرقة البيانات كما ورد في التقرير. وتعمل الثغرة بآلية مختلفة في أنظمة "آي أو إس" و"أندرويد"، إذ تستغل في أندرويد صلاحيات الاتصال بأجهزة التحكم الخارجية وهي صلاحية مبنية بشكل افتراضي داخل أنظمة "أندرويد"، حسب ما جاء في التقرير. وفي "آي أو إس" تستغل الثغرة إمكانية إنشاء اتصال "بلوتوث" لاسلكي مع الملحقات الخارجية، ورغم أن الهاتف يتعرف على الجهاز الخارجي كأنه سماعة، فإنه قد يكون حاسوبا يحاول الوصول إلى بيانات المستخدم وفق التقرير. ويؤكد الفريق أن هذه الثغرة تعمل في 8 من أبرز أنواع الهواتف المتاحة في الأسواق، بدءا من "شاومي" (Xiaomi) حتى "سامسونغ" و"غوغل و"آبل"، كما توصل الفريق معها جميعا. وتعيد هذه الثغرة إلى الذاكرة ثغرة أخرى كانت تعتمد على توصيل الهواتف بمنافذ الشحن العمومية ثم استغلالها للانتقال إلى بيانات الهاتف وسرقتها، لكن هذه الثغرة أغلقت منذ مدة طويلة من كافة الشركات كما أشار التقرير. ويوضح الفريق البحثي أن 6 من أصل 8 شركات تواصلوا معهم قاموا بإصلاح هذه الثغرة بالفعل أو في طور إصلاحها عبر التحديثات، حسب ما جاء في تقرير موقع "أندرويد آثورتي". وينصح الموقع المستخدمين بتجنب استخدام الملحقات العامة على الإطلاق حتى إن تم إصلاح الثغرة وإرسال تحديث ملائم لها، إذ يشير التقرير إلى أن الوقاية خير من العلاج.

حمل التطبيق

حمّل التطبيق الآن وابدأ باستخدامه الآن

هل أنت مستعد للنغماس في عالم من الحتوى العالي حمل تطبيق دايلي8 اليوم من متجر ذو النكهة الحلية؟ ّ التطبيقات الفضل لديك وابدأ الستكشاف.
app-storeplay-store