هکرها راه نفوذ به اینترنت اکسپلورر 11 و کروم در گجتها را یافتند
امنیت گجتهایی که هر روزه از آنها برای وبگردی استفاده میکنیم، موضوع بسیار مهمی است که میتواند سهم بسزایی از بازار هک را تحت الشعاع خود قرار دهد. در همین راستا محققین با استفاده از نقاط آسیب پذیر مرورگرهای کروم و اینترنت اکسپلورر در Surface Pro, Nexus 4 و Samsung Galaxy S4، راه ورود به درون سیستمعاملهای اندروید و ویندوز 8.1 را پیدا کردند.
این باگها و حفرههای امنیتی در خلل برگزاری مسابقات امنیتی Pwn2Own که در شهر توکیو برگزار شد، به نمایش در آمد. عبدالعزیز حریری و Matt Molinyawe از تیم ZDI که مدیریت این مسابقات را عهدهدار بودند، حفرهای امنیتی را که در اینترنت اکسپلورر 11 و در جهت مقاصد تحقیقاتی کشف نموده بودند، به نمایش گذاشتند. به گفته حریری، پیدا کردن باگ در اینترنت اکسپلورو به علت تمهیدات امنیتی و محافظت سرسختانه مایکروسافت کار مشکلی بوده است، اما لو رفتن یک آدرس از حافظه، راه را برای ورود به دستگاه و دستیابی به کدهای از راه دور برای راه اندازی دستگاه باز نموده و بدین ترتیب کنترل کامل بر روی کل دستگاه در اختیار او و همکارش قرار گرفته است.
به گفته همکار آقای حریری، آقای Molinyawe، این حفره امنیتی هم اکنون به مایکروسافت گزارش شده و به همین ترتیب به زودی برطرف خواهد شد.
کاربر دیگری که اسم مستعار Pinkie Pie را برای خود برگزیده است نیز با کشف حفرهای در مرورگر کروم، موفق به هک این مرورگر در تلفنهای هوشمند Nexus 4 و Samsung Galaxy S4 شد. البته به علت جدا بودن محیط پردازش سیستم عامل از مرورگر، دستیابی به کدهای کنترل از راه دور دستگاه به مراتب بسیار سختتر گزارش شده است.
تا به امروز و طی این چند ساله، تنها تعداد انگشتشماری حفره امنیتی در اندروید وجود داشته که امکان دسترسی به لایههای کنترلی سیستم عامل را در اختیار هکرها قرار داده و غالب آنها نیز در خلل برگزاری کنفرانسهای امنیتی اعلام شده است. به طوری که Pinkie Pie در سال گذشته موفق شد دو بار sandbox کروم را هک کند.
بدین ترتیب، Pinkie Pie با هک گوگل کروم از طریق Nexus 4 و Galaxy S4، جایزه 50000 دلاری را از آن خود نمود. جایزهای که 10000 دلار اضافهتر از جایزههای معمول این کنفرانس دارد و علت آن هم بر میگردد به جایزه اضافهای که گوگل به فردی که بتواند کروم را از طریق گجتهای ذکر شده هک کند، اهدا میکند.
باگ کشف شده توسط این کاربر نیز طبق قوانین این کنفرانس، به گوگل اعلام شده و در آیندهای نزدیک برطرف خواهد شد.
از دیگر تیمهایی که در این رقابت شرکت نمودند، میتوان به تیم ژاپنی و برنده 40000 دلار جایزه اشاره نمود که با کمک باگ امنیتی که در یکی از نرمافزارهای نیمه کامل از پیش نصب شده سامسونگ در Galaxy S4 موفق به دسترسی به لایههای کنترلی و هک این تلفن شده بود. متاسفانه نام این اپلیکیشن پیش فرض فاش نشده است. تیمی از محققین چینی نیز با کمک حفره امنیتی موجود در سافاری، موفق به هک iPhone 5 در iOS 7 و 6.1.4 و دزدیدن اطلاعاتی همچون عکسها، مخاطبین و کوکیهای مرورگر شدهاند و بدین ترتیب جایزه 27000 دلاری را از آن خود کردند.
روی هیچ لینک مشکوکی کلیک نکنید:
تنها کاری که یک هکر برای جلب طعمه خود به آن نیاز دارد، کلیک کردن کاربران بر روی صفحه آلوده است. به همین خاطر تا حد امکان از کلیک کردن بر روی صفحات مشکوکی که از طریق ایمیل یا SMS برایتان ارسال میگردد خودداری نمایید. چرا که به محض باز شدن صفحه آلوده در کروم، حمله بدون اطلاع و خواسته کاربر آغاز خواهد شد و بدین ترتیب دسترسی به کدهای کنترل از راه دور دستگاه میسر خواهد بود.