دور زدن احراز هویت دومرحله‌ای پِی‌پال

شاید نگاه به خطای بزرگ امنیتی که در سازو‌کار احراز هویت دومرحله‌ای پی‌پال وجود دارد، این سوال را در ذهن متخصصان ایجاد می‌کند که چگونه این شرکت متوجه این خطا نشده است؟ و البته این مسئله را یادآور می‌شود که برپایی احراز هویت دومرحله‌ای، نیازمند طی‌کردن استانداردهایی است که همه شرکت‌ها نمی‌توانند از پس آن بربیایند. 

محقق امنیتی  Zach Lanier از تیم امنیتی Duo Security هفته گذشته روشی را منتشر کرد که سازوکار احراز هویت دومرحله‌ای پی‌پال که مبتنی بر نرم‌افزار‌های تلفن‌همراه بود را دور زد. 

کلیدهای شناسائی در بسیاری از برنامه های گوگل پلی برای ربودن داده ها بکار می آیند

به گزارش ترفندستان, به نقل از دولوپه, در گزارش تحقیقاتی که محققینی از دانشگاه کلمبیا در مورد برنامه هائی که روی ویترین گوگل پلی میباشند منتشر کرده اند امده است که این برنامه ها کلیدهای شناسائی ای دارند که برای ربودن داده ها استفاده میشوند.
　
این گروه از محققین, ابزاری به نام "PlayDrone" برای ایندکس کردن هر روزه بیش از 1.1 میلیون برنامه روی صفحه ویترین انلاین رسمی برنامه های اندروید ساخته اند که برای ان از تکنیکهای گوناگون هک استفاده کرده و فناوری گوگل که برای ممانعت از ایندکس کردن محتوا است را دور زده و موفق شده سورس کد بیش از 880000 برنامه رایگان را استخراج کند. این محققین بعد از انالیز انها متوجه شده اند که : "توسعه گران اغلب کلیدهای مخفی شناسائی در برنامه های اندروید خود دارند بدون اینکه متوجه باشند که اطلاعات شناسائی به اسانی میتوانند با دیکمپایل کردن به خطر بیفتند."
　

تایید وجود آسیب‌پذیری OpenSSL در محصولات VMWare

درحالی‌که گروهی از آسیب‌پذیری‌های OpenSSL از هفته گذشته وصله شده است، اما مانند آسیب‌پذیری Heartbleed، این دسته از آسیب‌پذیری‌ها روی دسته‌ی بزرگی از محصولات وجود خواهند داشت که شرکت‌ها به صورت فردی باید هر یک از این آسیب‌پذیری‌ها را وصله کنند و برای محصولات خود

به‌روز‌رسانی‌های جداگانه منتشر کنند. 

VMware، شرکت تولید‌کننده‌ی محصولات کارگزار و مشتری، روز گذشته با انتشار توصیه‌نامه‌ای وجود این آسیب‌پذیری‌ را در تعداد

زیادی از محصولات خود تایید کرده و البته اعلام کرده است که تنها برای یک محصول، یعنی ESXi 5.5 وصله وجود دارد. 

رخنه سه ساله هکرهای ایرانی به اطلاعات مقامات ارشد آمریکایی

یک موسسه امنیت سایبری آمریکایی با عنوان آی‌سایت در گزارشی ادعا کرد که گروهی از هکرهای ایرانی از سال 2011 به طور

نامحسوس به اطلاعات حساب‌های کاربری مقامات ارشد آمریکایی رخنه کرد‌ه‌‌اند.

به گزارش خبرنگار فناوری اطلاعات خبرگزاری فارس به نقل از وال استریت ژورنال  این شرکت آمریکایی اسامی افرادی که اطلاعات آنها هک شده را

منتشر نکرد اما اعلام کرد از جمله این افراد یک دریادار چهارستاره نیروی دریایی آمریکا، یک عضو کنگره و تعدادی از اعضای لابی صهیونیست هستند.

این موسسه آمریکایی در ادامه به روش هکرهای ایرانی اشاره کرده و مدعی شده هکرهای ایرانی با ایجاد 6  شخصیت مجازی که همگی تحت

پوشش یک آژانس خبری جعلی به نام NewsonAir.org فعالیت داشته‌اند اقدام که گردآوری اطلاعات کرده‌اند.

نفوذ به دستگاه‌های اپل با باج‌افزار جدید

چند سالی است که بدافزار‌های باج‌گیر کاربران ویندوزی را هدف قرار داده‌اند، کارشناسان پیش‌بینی کرده بودند که طولی نمی‌گشد که باج‌افزار‌ها راه

خود را برای نفوذ به دستگاه‌های تلفن هوشمند مبتنی بر اندروید و iOS و سایر سامانه‌عامل‌های رایانه‌های رومیزی مانند مک باز خواهند کرد.

تاکنون چندین بار از باج‌افزار‌هایی که علیه سامانه‌عامل اندروید توسعه پیدا کرده بودند، گزارش‌های ارائه شده است، چنین بدافزار‌های ابتدا با ترغیب

کار برای بارگیری، راه خود را به دستگاه باز می‌کنند و سپس کاربر برای این‌که کنترل دستگاه‌ را دوباره به‌دست بگیرد باید مبلغی پول پرداخت کند.

اینفوگرافیک: راه‌هایی که کاربران در اختیار هکرها قرار می‌دهند

منبع : zoomit.ir

وصله‌شدن ۲۲ آسیب‌پذیری در سافاری

اپل روز گذشته به‌روز‌رسانی را برای مرورگر سافاری منتشر کرده است که در آن ۲۲ آسیب‌پذیری این مرورگر وصله شده که در شرح این به‌روز‌رسانی مشکل مربوط به موتور مرورگرِ WebKit که امکان اجرای کد یا از کار انداختن مرورگر را برای مهاجم فراهم می‌کند، معرفی شده است.

Safari 7.0.4 برای سامانه‌عامل OS X Mavericks 10.9 ارائه شده و Safari 6.1.4 برای سامانه‌عامل OS X Mountain Lion 10.8 معرفی شده است، آسیب‌پذیری‌های وصله شده در صورتی که مهاجم موفق به ترغیب کاربر برای بازدید از یک وب‌گاه آلوده شود، قابل سوء‌استفاده است.

اینفوگرافیک : باگ خونریزی قلبی

آسیب‌پذیری WinRAR و توزیع بدافزار

تصور کنید، با باز کردن یک پرونده‌ی WinRAR که حاوی چند پرونده‌ی MP3 است و با پخش کردن هر یک از این پرونده‌های MP3، یک بدافزار

در سامانه‌ی شما نصب شود.
WinRAR یکی از پرکاربر‌ترین برنامه‌های فشرده‌‌سازی و بایگانی پرونده‌ها می‌باشد و آسیب‌پذیری این نرم‌افزار به نفوذگران کمک می‌کند تا کد‌های

مخرب خود را از این طریق پخش کنند.
محققی به نام Danor Cohen این  آسیب‌پذیری را WINRAR 4.20 کشف کرده  و در وبلاگ An7i در مورد جزییات آن توضیح داده است.

دور زدن اکانت ورود به سیستم در تمام نسخه‌های ویندوز

UAC، سازوکاری است که ویندوز برای مدیریت دست‌رسی به حساب‌های کاربری از آن استفاده می‌کند. هربار که برنامه‌ای قصد تغییرات عمده‌ای در

سامانه‌عامل دارد، UAC، این مسئله را به کاربر اطلاع می‌دهد و مجوز این کار را از وی دریافت می‌کند.

سازوکار UAC، در تمام نسخه‌های ویندوز ویستا، ۷ و ۸ موجود است، و در صورتی که کاربر مجوز مدیر سامانه را دارا باشد، می‌تواند از بخش

Control Panel، تنطیماتِ هشدارهای این سازوکار را تغییر دهد.