قابل توجه کاربران گرامی: تاپیک معرفی اعضاء برای آشنایی بیشتر با یکدیگر (حتما شرکت کنید) لینک

MSI Notebook
نمایش نتایج: از 1 به 1 از 1
Like Tree2Likes
  • 2 Post By ErfanDL

موضوع: حفره امنیتی FREAK در کمین کاربران اندروید و iOS

  1. #1
    Network Administrator
    ErfanDL آواتار ها
    تاریخ عضویت
    Aug 2012
    محل سکونت
    MikroTik RouterOS
    نام واقعی
    عرفان
    نوشته ها
    3,034
    تشکر شده 17,314 بار در 2,992 پست
    ErfanDL آنلاین نیست.

    Smile حفره امنیتی FREAK در کمین کاربران اندروید و iOS



    تیمی حرفه‌ای از کریپتوگرافرها (متخصصان رمزنگاری) اخیراً متوجه شده‌اند که یک حفره امنیتی مربوط به دهه ۹۰ میلادی به نام FREAK حالا گوشی‌ها و تبلت‌های اندرویدی و iOS را به حملات سایبری آسیب‌پذیر کرده است. این مشکل سافاری بر روی مک یا iOS و یا مرورگر پیش‌فرض (قدیمی) اندروید را مورد هدف قرار می‌دهد.

    این نوع حملات MITM نام دارد

    [Only registered and activated users can see links. ]

    FREAK مخفف عبارت “Factoring attack on RSA-EXPORT Key” یا حمله فاکتوری به کلید‌ RSA نامیده شده است و وقتی کاربر به یک سایت “ایمن” با پروتکل HTTPS مراجعه می‌کند او را در معرض خطر قرار خواهد داد. لیست سایت‌هایی که از RSA Export استفاده می‌کنند و احتمال بروز مشکل امنیتی در آن‌ها وجود دارد در وب‌سایتی به نام [Only registered and activated users can see links. ] درج شده است که نام وب‌سایت‌های مشهوری مانند Sohu، BusinessInsider، American Express، بلومبرگ، ۴Shared و در سایت‌های ایرانی بانک ملی ایران، مشرق‌نیوز، افکارنیوز، تمین، انتخاب و شفاف نیز در آن به چشم می‌خورد. به این ترتیب اگر با سایت‌های ذکر شده سر و کار دارید توصیه می‌کنیم از مرورگر سافاری چه در iOS و چه OS X و همچنین مرورگر قدیمی پیش‌فرض اندروید استفاده نکنید. خوشبختانه تعداد سایت‌های آسیب‌پذیر اخیراً از ۱۲.۲ درصد کل یک میلیون دامنه برتر در الکسا اخیراً به ۹.۷ درصد کاهش پیدا کرده است.
    اما مشکل از کجا آغاز شده است؟ ظاهراً دولت آمریکا مدتی پیش شرکت‌ها را الزام کرد تا برای بازدیدکنندگان خارجی از الگوریتم رمزگذاری ضعیف‌تر ۵۱۲ بیتی استفاده کند در حالی‌که بازدیدکنندگان آمریکایی از الگوریتم به مراتب ایمن‌تر ۱۰۲۴ بیتی بهره‌مند می‌شوند. برای سوییچ کردن و تشخیص خودکار کاربران توسعه‌دهندگان SSL یک مکانیسم طراحی کردند که بتواند این‌کار را انجام دهد. با وجود این‌که این محدودیت دولت آمریکا برداشته شد اما دیگر دیر شده بود. هکرها به سادگی می‌توانند برخی مرورگرها را وادار به استفاده از الگوریتم قدیمی‌تر کنند که می‌توان آن را طی ۷ ساعت توسط ۷۵ کامپیوتر رمزگشایی کرد در صورتی که الگوریتم ۱۰۲۴ بیتی برای شکستن نیاز به چندین میلیون کامپیوتر و یک‌سال زمان دارد! شاید بپرسید چرا سایت ایرانی حساسی مانند بانک ملی باید از SSLهای خارجی استفاده کند؟ جواب این‌جاست که تنها چند شرکت معتبر ارائه‌دهنده این گواهینامه‌ها وجود دارد و چیزی تحت عنوان SSL ایرانی نداریم.

    به گفته “متیو گرین” پروفسور محقق امنیتی این تصمیم امنیتی برای آن گرفته شده بود که NSA یا همان آژانس امنیت ملی آمریکا بتواند به اطلاعات تبادل شده “دسترسی” داشته باشد درحالی‌که کماکان امنیت حداقل لازم برقرار است. اگر این حفره امنیتی قدیمی مربوط به دهه ۹۰ میلادی کماکان می‌تواند کاربران را در معرض خطر قرار دهد پس تعجبی ندارد که اخیراً خبرهای زیادی در مورد شنود مکالمات و اطلاعات کاربران توسط NSA به گوش می‌رسد.
    محققان هنوز نمی‌توانند بگویند آیا کسی از این حفره امنیتی برای نفوذ استفاده کرده یا خیر اما امکان آن را اثبات کرده‌اند. یک نفوذگر ماهر با امکانات مناسب قادر خواهد بود اطلاعات بازدیدکنندگان این وب‌سایت‌ها را بدزدد و حتی به برخی اطلاعات خود سایت نیز دسترسی داشته باشد.
    اپل و گوگل هر دو اعلام کرده‌اند که در تلاش برای رفع این مشکل هستند. درحالی‌که کاربران iOS و OS X می‌توانند تا هفته دیگر این آپدیت امنیتی را دریافت کنند اما ممکن است گوگل نتواند از طریق Google Play Services این آپدیت را عرضه کند؛ پس بهتر است فعلاً از مرورگرهایی مانند کروم و فایرفاکس در گوشی یا تبلت‌های اندرویدی خود استفاده کنید.



    Olesius and mohammad72 like this.


    Motherboard : ASUS P8P67 WS Revolution - DUAL BIOS MOD Processor : Core i5 3570 @ 4.0 GHz - 1.1 V - 45° C
    Main Memory : G.Skill TridentX 8GB (2x4GB) @ 2400 MHz Graphics Card : ASUS ROG STRIX 1080Ti 11G Gaming
    Cooling : Tuniq Tower 120 Extreme V2 Power Supply : GREEN GP885-B


  2. 5 کاربر بابت این ارسال مفید از ErfanDL تشکر کرده اند:

    ehsan481370 (22nd December 2015),mohammad72 (5th March 2015),Olesius (5th March 2015),Reza Y (5th March 2015),SETIZEN (5th March 2015)



کلمات کلیدی این موضوع

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •