برای مشاهده لیست علاقه مندی ها وارد شوید!
مشاهده محصولات فروشگاههیچ محصولی در سبد خرید نیست.
آسیبپذیری جدیدی در نرمافزار Waze شناسایی شده است که به هکرها امکان شناسایی هویت کاربران را می دهد. بر اساس گزارش منتشر شده در وب سایت Autoevolution.com، این آسیبپذیری توسط یک مهندس امنیت سایبری به نام “Gasper” شناسایی شده است. وی در هنگام استفاده از رابط کاربری این برنامه (API) متوجه شده میتواند به آن درخواستی را ارسال کند که علاوه بر نمایش مختصات فعلی خود، مختصات سایر رانندگان نزدیک به او را هم اعلام کند.
دادههایی که در اختیار وی قرار گرفته اند می توانند شناسه آیکن های خاصی که هر کدام از آنها یک راننده را نشان می دهد بر روی نقشه مشخص کنند. لازم به ذکر است که با گذشت زمان، این شناسهها تغییری نمیکنند. در نتیجه هر شخصی که از این آسیب پذیری سوءاستفاده کند میتواند یک کاربر خاص را در کل مسیر حرکتش تحت تعقیب قرار دهد.
Gasper میگوید: «من تصمیم گرفتم یک راننده خاص را دنبال کنم. او پس از طی مسیری کوتاه، در مکانی متفاوت توقف کرد. من ویرایشگر کد را کپی کرده و یک افزونه کروم ساختم که از chrome.devtools برای دریافت پاسخهای JSON از این API استفاده میکند. در نهایت توانستم مسیر حرکت کاربران در مناطق مختلف شهری یا یک شهر خاص را دنبال کنم».
او در تحقیقات بعدی خود متوجه شد مهاجمان میتوانند حتی نام واقعی کاربرانی که با این برنامه کاربردی در تعامل بوده اند را نیز استخراج کنند. Gasper در این خصوص گفته که: «من متوجه شدم اگر کاربری وجود یک مانع را در جاده اعلام کند یا به گشت پلیس گزارشی داده باشد، API نام کاربری و شناسه وی را به همه کاربرانی که از آن مسیر عبور کنند، انتقال میدهد. در حالی که این برنامه مجوز نمایش این داده ها را ندارد. پاسخی که API به درخواست دریافت اطلاعات کاربران توسط سایرین می دهد شامل نام کاربری، شناسه، محل وقوع رویداد و حتی زمان اعلام آن است».
شرکت گوگل پس از اطلاع از این آسیب پذیری، آن را برطرف کرده است. یکی از کارشناسان امنیتی در این رابطه می گوید: «در هر سازمانی، آسیبپذیری های مبتنی بر API به وفور مشاهده میشود و این آسیبپذیری ها فرصت سوءاستفاده آسان را برای مهاجمان فراهم میکنند. به همین دلیل، سازمان ها همواره باید بر APIهای مورد استفاده خودشان نظارت کامل داشته باشند».
سازمانها همواره باید برای این سؤال های ساده اما مهم، پاسخ مناسبی داشته باشند: ما چه تعداد API داریم و مالک آنها کیست؟ آیا این APIها کنترل دسترسی و سازوکارهای احراز هویت لازم را دارند؟ و در نهایت اینکه این APIها چه نوع داده هایی را منتقل میکنند؟
منبع: infosecurity-magazine
شرکت آمریکایی سیتریکس که در حوزه ارایه خدمات رایانه ای و شبکه فعالیت می کند، از مشتریان خود درخواست کرده هر چه سریعتر نسبت به دانلود و نصب بهروزرسانی های منتشر شده برای دستگاههای ADC (که از آنها برای تبدیل...
حمله گسترده و پیچیده سایبری به شرکت سولارویندز (SolarWinds) که روسیه عامل اصلی اجرای آن شناخته می شود، مؤسسههای محلی، ایالتی و فدرال آمریکا و بعضی از شرکتهای بزرگ این کشور را با تهدیدات جدی و بزرگترین نشت اطلاعاتی تاریخ...
(Zero rust Network (ZTN یک مدل امنیتی مدیریت و کنترل شبکه است که در سازمانهای فناوری محور از آن استفاده می شود. در این مدل امنیتی به صورت پیش فرض به هیچ ماشین، سرویس یا شخصی اعتماد نمی شود و...
رمزنگاری سراسری، یک سیستم ارتباطی امن است که تنها افراد دو طرف ارتباط، قادر به خواندن پیام ها هستند و هیچ فرد و سیستمی از جمله ارایه دهندگان خدمات اینترنتی و مخابراتی امکان شنود کلیدهایی که برای رمزنگاری استفاده می...
یک هکر اخلاقی (Ethical Hacker) با نام «کوزمین یورداچه» که وظیفه پیدا کردن نقاط آسیبپذیر در سیستمهای مختلف و برطرف کردن آنها را داشته و با شناسه “@inhibitor181” در HackerOne (ارایهدهنده پلتفرم برنامههای عیبیابی) فعالیت میکند، حدود یک سال پیش...
Naked Security (اتاق خبر شرکت امنیتی سوفوس) ایمیلی را دریافت کرده که در آن چنین وانمود شده بود از وب سایت “WordPress.com” ارسال شده است. در این ایمیل، به گیرنده اطلاع داده شده که وب سایت او مشمول دریافت به...
با نزدیک شدن به تعطیلات سال نو میلادی و مراجعه مردم برای خریدهای آخر سال که امسال با شیوع بیماری کرونا نیز همزمان شده است، دولتها دائماً به شهروندان گوشزد میکنند که اهمیت ماسک زدن، رعایت فاصله اجتماعی و شستشوی...
بیشتر کارمندانی که با شیوع بیماری کرونا مجبور به دورکاری شده اند، همچنان مایل به ادامه این شرایط هستند؛ زیرا در هنگام دورکاری بیش از قبل از تجهیزات و امکانات سازمانی برای انجام کارهای شخصی شان استفاده میکنند. در این...
جیمی سندرز، مدیر امنیت شرکت Netflix DVD و رئیس شعبه سانفرانسیسکوی اتحادیه امنیت سیستمهای اطلاعاتی (ISSA) به دنبال یک تیم امنیتی است که بتواند اقدامات پیش رو، از پشتیبانی راهبرد امنیتی اعتماد صفر شرکت وی گرفته تا پیادهسازی ابر با...
تست نفوذ – فروشگاه ابزار های هک و امنیت | باگ بانتی
© کليه حقوق محصولات و محتوا متعلق به شرکت تیم سار ” تست نفوذ ” می باشد و هر گونه کپی برداری از محتوا و محصولات سایت پیگرد قانونی دارد.