کاربران توییتر درحال‌حاضر می‌توانند از ۲FA بدون شماره تلفن استفاده کنند

توییتر اعلام کرد که کاربران آن برای اضافه کردن راه‌کارهای محافظتی بیشتر به حساب خود از طریق احراز هویت دو مرحله‌ای (۲FA) دیگر نیازی به شماره تلفن ندارند. توییتر بیان می‌کند که تاکنون، این بستر اجتماعی کاربران را ملزم می‌کرد تا برای دریافت کدهای ورود از طریق پیام‌ کوتاه یک شماره تلفن ارائه دهند، اما درحال‌حاضر گزینه‌های بیشتری در اختیار آن‌ها قرار گرفته است. درحال‌حاضر کاربران توییتر سه روش ۲FA متفاوت دارند که شامل پیام کوتاه، برنامه‌ی امنیتی تلفن همراه و کلید امنیتی است. بااین‌حال، استفاده از کلیدهای امنیتی هم…

Read More

گوگل برای نفوذ از راه دور به تراشه‌ی Titan M تا ۱.۵ میلیون دلار پاداش می‌دهد

گوگل با آخرین اطلاعیه‌ی خود در مورد افزایش پاداش در ازای اشکال برای یافتن و گزارش آسیب‌پذیری‌های بحرانی در سیستم عامل اندروید، رقابت چالش‌برانگیز جدیدی برای نفوذگران راه‌اندازی کرده که می‌توانند در این رقابت یک پاداش ۱٫۵ میلیون دلاری برنده شوند. این غول فناوری در پست وبلاگی خود اعلام کرد که از تاریخ ۲۲ نوامبر گوگل برای یک بهره‌برداری اجرای کد از راه دور زنجیره‌ی کامل که عنصر امن Titan M را در دستگاه‌های پیکسل در معرض خطر قرار می‌دهد، یک میلیون دلار پاداش خواهد داد. علاوه‌برآن، اگر کسی موفق…

Read More

درآمد ۵ هزار دلاری پژوهش‌گران از آسیب‌پذیری XSS در ویژگی ایمیل پویایی جی‌میل

یک پژوهش‌گر در ازای کشف یک آسیب‌پذیری XSS در ويژگی ایمیل پویا که چند ماه قبل به جی‌میل اضافه شد، از گوگل ۵ هزار دلار پاداش گرفت. این ویژگی ایمیل پویا که با عنوان Accelerated Mobile Pages برای ایمیل یا AMP4Email شناخته می‌شود، امکان استفاده از محتوای HTML‌ پویا در ایمیل‌ها را فراهم می‌کند و به کاربران اجازه می‌دهد تا کارهای مختلفی را به‌طور مستقیم از طریق یک ایمیل انجام دهد، به‌عنوان مثال به یک نظر در Google Docs پاسخ دهند، پرسش‌نامه پر کنند، به دعوت به یک رویداد پاسخ…

Read More

انتشار باج‌افزار DopplePaymer از طریق گواهی‌نامه‌های آسیب‌دیده

طبق گفته‌ی مایکروسافت، باج‌افزار DopplePaymer از طریق گواهی‌نامه‌های مدیر دامنه‌ی موجود منتشر می‌شود و از هدف قرار دادن آسیب‌پذیری BlueKeep بهره‌برداری نمی‌کند. این بدافزار که پژوهش‌گران امنیتی معتقدند در حمله‌ی اخیر به شرکت نفت دولتی مکزیک به نام Petróleos Mexicanos نقش داشته، از ماه ژوئن سال ۲۰۱۹ میلادی ساخته شده و نمونه‌های قبلی آن مربوط به ماه آوریل سال ۲۰۱۹ میلادی است. اولین بار در ماه جولای سال جاری اعلام شد که  DopplePaymer یک نسخه‌ی انشعاب‌یافته از بیت‌پِیمر است که احتمالاً کار برخی از اعضای گروه تهدید TA505 است که…

Read More

آسیب‌پذیری جدید در دستگاه‌های اندرویدی و امکان دسترسی برنامه‌های جعلی به دوربین

به تازگی آسیب‌پذیری در دستگاه‌های تولیدی توسط شرکت‌های گوگل و سامسونگ شناسایی شده است. بهره‌برداری از این آسیب‌پذیری‌ها به برنامه‌های کاربردی مخرب اجازه می‌دهد تا به‌طور مخفیانه عکس گرفته و یا ویدئو ضبط کند. این برنامه‌ها ممکن است دارای مجوزهای ویژه‌ای نیز نباشند. شما باید مطلع باشید که مدل امنیتی در آخرین نسخه از سیستم عامل اندروید به‌گونه‌ای است که برنامه‌ی مورد نظر باید در دستگاه هدف مشخص کند که چه مجوزهایی را به‌طور ویژه درخواست دارد. این آسیب‌پذیری جدید دارای شناسه‌ی CVE-2019-2234 است و در برنامه‌های دوربین از پیش‌نصب‌شده‌…

Read More

به‌روزرسانی‌های جعلی ویندوز و تحویل باج‌افزار Cyborg بر روی سیستم قربانیان

پویش هرزنامه‌ای جدیدی موسوم به به‌روزرسانی ویندوز به راه افتاده که منجر به نصب باج‌افزار Cyborg می‌شود. در این پویش ایمیل جعلی، این‌طور به نظر می‌رسد که ایمیل از طرف مایکروسافت ارسال شده است. در ایمیل ضمیمه‌ای با عنوان «آخرین به‌روزرسانی بحرانی» قرار گرفته است. به گفته‌ی محققان این فایل ضمیمه دارای فایلی با پسوند .jpg است ولی یک فایل اجرایی است. نام فایل یک نام تصادفی است و اندازه‌ی آن ۲۸KB است. این فایل اجرایی یک فایل دانلودکننده‌ی .NET است که یک فایل بدافزاری دیگر را بر روی سیستم…

Read More

مایکروسافت ویژگی DNS بر روی HTTPS موسوم به DoH را در ویندوز اجرا می‌کند

شرکت مایکروسافت این هفته اعلام کرد قصد دارد برای حفظ حریم خصوصی ترافیک کاربران ویندوز، قابلیت DNS بر بستر HTTPS موسوم به DoH را در ویندوز فعال کند. در مرورگر کروم و فایرفاکس برای ویندوز استفاده از این ویژگی به این معنی است که درخواست‌های DNS به‌طور رمزشده ارسال خواهند شد و نام دامنه‌هایی که کاربر بازدید کرده ودرخواست می‌کند، به‌طور متن ساده در اینترنت قابل مشاهده نخواهد بود. مایکروسافت اعلام کرده اگر سازگاری بر روی بسترهای سیستم عاملی و ارائه‌دهندگان سرویس اینترنت وجود داشته باشد، نیازمندی برای DNS متمرکز…

Read More

آسیب‌پذیری جدید در برنامه‌ی پیام‌رسان واتس‌اپ و امکان نصب جاسوس‌افزار بر روی دستگاه‌های کاربران

گزارش‌ها حاکی از آن است که واتس‌اپ ماه گذشته، به‌دور از پوشش خبری یک آسیب‌پذیری بحرانی را در پیام‌رسان خود وصله کرده است. بهره‌برداری از این آسیب‌پذیری به یک مهاجم از راه دور این امکان را می‌داد تا دستگاه قربانی را آلوده کرده و به پیام‌های خصوصی و فایل‌های ذخیره‌شده در این پیام رسان دسترسی داشته باشد. به این آسیب‌پذیری شناسه‌ی CVE-2019-11931 اختصاص یافته و یک اشکال سرریز بافر مبتنی بر پشته محسوب می‌شود. این اشکال در بخش پردازش فایل‌های MP4 وجود داشته و بهره‌برداری از آن منجر به ایجاد…

Read More

گروه نفوذ APT33 از بات‌نت‌های خاص منظوره برای اجرای حملات استفاده می‌کند

محققان امنیتی از شرکت ترندمیکرو مدعی شده‌اند گروه نفوذ APT33 در حملات خود از یک بات‌نت مبهم‌سازی شده بهره‌برداری کرده و نهادها در آمریکا، خارومیانه و آسیا را هدف قرار می‌دهد. گفتنی است این شرکت‌های امنیتی این گروه نفوذ را به کشور ایران نسبت می‌دهند. این گروه نفوذ از سال ۲۰۱۳ میلادی فعال است و در طول فعالیت‌های خود بخش‌های مختلفی از جمله دولتی، پژوهشی، انرژی، نفت، مالی، شرکت‌های فناوری و تولید و شیمیایی را در آمریکا، اروپا، خاورمیانه و آسیا را هدف حملات خود قرار داده است. ترندمیکرو اعلام…

Read More

آسیب‌پذیری در چیپ‌های کوالکام اطلاعات حساس میلیون‌ها دستگاه را در معرض خطر قرار داده است

صدها میلیون دستگاه به‌ویژه تلفن‌های هوشمند اندرویدی که از چیپ‌های کوالکام استفاده می‌کنند، تحت تاثیر یک آسیب‌پذیری قرار گرفته‌اند. به‌گفته‌ی محققان امنیتی از شرکت چک‌پوینت، مهاجمان با بهره‌برداری از این آسیب‌پذیری می‌توانند اطلاعات حساس که در بخش محافظت‌شده‌ی سیستم قرار دارد، به سرقت ببرند. این آسیب‌پذیری در بخش Qualcomm’s Secure Execution Environment (QSEE) این چیپ‌ها وجود دارد که یک پیاده‌سازی از محیط اجرای قابل اعتماد TEE مبتنی بر فناوری ARM TrustZone است. فناوری QSEE یک ناحیه‌ی امن ایزوله‌شده‌ی سخت‌افزاری روی پردازنده‌ی اصلی است که مدعی است از اطلاعات حساس محافظت…

Read More