خصوصية نظام تشغيل الآيفون IOS : سرقة كلمة المرور

خصوصية نظام تشغيل الآيفون IOS : سرقة كلمة المرور

ترجمة: هلال الجنيبي

 

بكل سهولة يمكنك الحصول على كلمة السر لمستخدمي Apple ID ، فقط من خلال طلبها 😊.

 

هل تريد كلمة مرور مستخدمي Apple ID، للوصول إلى حسابه في أبل  أو تحاول   دمج نفس الإيميل وكلمة السر بمختلف خدمات الويب؟ فقط إسأل المستخدمين بطريقة مهذبة, وإحتمال كبير سوف يسلمونك وثائق التفويض كما هم متعودين على القيام بذلك.

 static1.squarespace.com

 22

تنصـــــــل

هذه فقط إثبات لفكرة التصيد الغير قانوني، تجنب إستخدام هذه في تطبيقاتك. الهدف من هذا المنشور المدون هو إغلاق الثغرة التي كانت هنا لسنوات عديدة، ولم تعالج بعد. لسبب أخلاقي, قررت أن لا أشير للمصدر الرمزي الفعلي* الذي يظهر الإشعار المنبثق كما هو في الصور أعلاه بصورة متكررة .

* يقصد إسم التطبيق

لماذا يعمل هذا؟

IOS تطلب من مستخدمي الآيتونز كلمة المرور لعدة أسباب، والأكثر شيوعا آخرها حين يتم تثبيت تحديث نظام التشغيل أو تطبيقات IOS  التي أصيبت بالتعليق من خلال التثبيت .

كنتيجة لذلك، المستخدمين متعودون على إدخال حساب Apple ID وكلمة المرور في كل مرة يطلب منهم النظام. هذه الطلبات المنبثقة ليست فقط تشاهد في قفل الشاشة أو واجهة الشاشة، إنما حتى في حالة طلب الوصول في الخدمة السحابية Icloud, مركز الألعاب أو في حالة الشراء من داخل التطبيقات .

هذا قد يسهل من عملية سوء الإستخدام من قبل صاحب أي تطبيق فقط يظهر UIAlertController وهي مادة تعرض كرسالة للمستخدم. ذلك الذي يشبه تماما “نظام الحوار” أي النافذة المنبثة التي تطلب التوثيق من بريد إكتروني وكلمة مرور وإلخ.

 

وحتى هؤلاء المستخدمين الذين لديهم معرفة في التقنية سوف يصعب عليهم إكتشاف عمليات التصيد من هذا النوع.

 

كيف يمكن أن تحمي نفسك 

إضغط على زر الهوم، ثم أنظر حتى يخرج التطبيق:

– إذا أغلق التطبيق مع النافذة المنبثقة هذا يعني أنها كانت ثغرة هجمات التصيد.

– إذا التطبيق والنافذة المنبثقة مازالوا ظاهرين في الشاشة فالسبب لذلك يعود للنظام بأنه كان في حالة تشغيل النافذة المنبثقة من معالجة مختلفة، وليست كجزء عمل لأي من تطبيقات IOS .

– لا تدخل بيانات الإعتماد في النافذة المنبثقة وبدلا من من الرفض، افتح اعدادت التطبيق يدويا. هنا الفكرة مشابة تماما بفكرة عدم النقر روابط البريد الإلكتروني ولكن عوضا عن ذلك إفتح واكتب الموقع يدويا.

– إذا نقرت على زر الإلغاء في النافذة المنبثقة سيكون بمقدور التطبيق الوصول إلى محتوياتك في حقل كلمة المرور، وحتى بعد إدخال الأحرف الأولى، من المحتمل أن يملك التطبيق فعلا كلمة المرور

 

في البداية كنت أظن أن هذه التنبيهات المخادعة تطلب من خلال مطوري التطبيق لمعرفة إيميلك ولكن تبين لي أن بعض هذه التفويضات لا تحمل عنوان البريد الإلكتروني، مما تسهل عملية تصيد كلمات المرور من خلال التطبيقات.

 33

 

 اقتراح

متصفحات الويب الحديثة تملك زمام حماية المستخدم من هجمات التصيد الإحتيالي، وكون التصيد داخل التطبيقات تعتبر من العهد الجديد نوعا ما فما تزال في بدايتها غير مكتشفة .

– عندما يطلب حساب Apple ID من المستخدمين، عوضا عن طلب كلمة المرور مباشرة، إطلب منه فتح إعدادت التطبيق.

– إصلاح جذور المشكلة،  لا يجب أن يطلب من المستخدمين الحصول على بيانات إعتمادهم. هو لن يؤثر على المستخدمين ولكن شخصيا واجهت مشكلة منذ شهور حتى إختفت بطريقة عشوائية.

– طلب الإعتماد من التطبيق قد يحمل أيقونة التطبيق في أعلى يمين النافذة المنبثقة، لكي تشير بأن التطبيق يطلب منك ذلك وليس النظام. هذا النهج يعمل عن طريق الإشعارات، أيضا التطبيق لا يستطيع دفع الإشعارات كتطبيق آيتونز.

 44

لقد بلغت عن هذه كتتبع والذي يمكنه خداعك:  rdar://34885659 👍

أحيانا IOS تظهر لك التنبيهات المتلاحقة في شاشة القفل حيث أنها تفتح إعدادت التخزين السحابي Icloud في الشاشة، هذه أفضل طريقة من طلب كمة المرور مباشرة

 

التعقيد

إظهار شعار طلب الإعتماد التي تشبه شعار النظام في طلب البريد الإلكتروني وكلمة المرور هي قمة السهولة، فليس هنالك معجزة أو أنها تشمل رمز برمجي سري، إنه مثال حرفي لتوفير مستندات أبل مع تخصيص النص.

 

لقد قررت بعدم فتح المصادر الفعلية للرموز البرمجية التي تدفع التنبيهات التي تطلب البيانات الخاصة بالمستخدم، ومع ذلك لاحظ وجود أقل من 30 سطرا من التعليمات البرمجية وكل مهندس لنظام تشغيل IOS سوف يكون قادرا بسرعة لا متناهية من بناء برمجتهم الخبيثة .

سين/جيم

تخيل إذا كل واحد قرأ هذا قبل النشر أو التعليق في أخبار القراصنة HackerNews/Reddit #oneCanDream  😊

 

ولكن لدي عاملين متاحين فهل أنا في أمان صحيح؟

الخبر الجيد لك، كل واحد عليه إستخدام خاصية التوثيق الثنائية بوضوح ومع ذلك العديد من الناس لا يفعلون في الوقت نفسه، حتى لو كان حساب أبل معتمد بحماية 2FA، العديد من المستخدمين مازالوا يستخدمون نفس أسم المستخدم/كلمة المرور على معظم خدمات الويب.

 

 Phishing on mobile? Is that a thing now؟

هذا الشرح مخصص لمطوري التطبيقات تم تجاوزه في الترجمة

 

التصيد على الجوال هل هو فعلاً موجود الآن؟

في هذه لمنطقة ستصبح أكثر فأكثر متصلة، مع المستخدمين كونها غير معلومة ونظام تشغيل الهواتف ليس واضح فيما يتعلق بتوزيعات UI الخاصة بالنظام والتطبيق. وهي  إحدى خواصdetect.location,  أنظر الرابط :

https://github.com/KrauseFx/detect.location، بحيث أن التطبيقات ستسجل الكتابة الخاصة بها، وتخصص الصور المختارة لتوفير أفضل تجربة، ولكن في الحقيقة مع ذلك يحصلون أيضا على كامل الوصول إلى مكتبة الصور الخاصة بالمستخدم وكذلك إختياريا الصول إلى مكان كامرة التصوير. أنظر لهذا الرابط https://github.com/KrauseFx/watch.user .

 

نظام تشغيل IOS يفترض به أن يكون أكثر وضوحاً في تمييز عناصر UI  النظام و UI التطبيقات. بذلك ستحدد هوية العملية، حتى أنها ستكون واضحة لمتوسط مستخدمي الهواتف الذكية . هذه المشكلة صعب حلها، وكذلك متصفح الويب مازال يعالج المشكلة، حتى أيضا في موقع الويب يظهر لك إشعار الماك أو أس وIOS وطبعا غالب المستخدمين يظنون هذا الإشعار آمن من النظام.

 

 

 

3333333

هذه الصورة من تصميم كاتب المقال ويستطيع أن يخصصها بالطريقة التي يشاء .

 

رابط المقال:

 

https://krausefx.com/blog/ios-privacy-stealpassword-easily-get-the-users-apple-id-password-just-by-asking

Advertisements

مالفرق بين بصمة الوجة لدى آيفون عشرة وماسح الوجه لدى سامسونج؟

الفرق هو أن تقنية بصمة الوجه لدى أبل ثلاثية الأبعاد وهو ما يعني أنها تعتمد رسمها على تفاصيل الوجة من خلال تقنية dots، وهي تقنية تستخدم في مجال الأفلام والألعاب ثلاثية الأبعاد لكي تعطي تفاصيل دقيقة للشخصية بشكل عام ففي حالة الآيفون x تنشر ٤٠ ألف نقطةعلى الوجة، وليس هذا فحسب فكلنا يعلم أن هذه التقنية تتطلب عتاد ضخم ومعالج ذكي ذو أداء عالي بينما هو اليوم محصور داخل رقاقات رفيعه أعلى الجهاز وهذا ما يجهله التقنيين قبل المستخدمين العاديين بالإضافة إلى مستشعر لحرارة الوجة الذي يعطيك أفضلية في قراءة بصمة الوجة في الظلام وأخيراً تحتوي تلك الرقاقة على على معالج يعمل بتقنية الذكاء الإصطناعي بحيث أن لديه القدرة على قراءة متغيرات وجه المستخدم في حالة أي تغغير تتطرأ على وجهه من شعر وميكآب وإلخ من هذه المتغيرات وهذه نقلة تقنية جبارة في تجميع وتحجيم هذه الأدوات في هاتف صغير على عكس التقنية المستخدمة في أجهزة السامسونج فهي تعتمد على إلتقاط صورة للوجه ثنائية الأبعاد ولا تحتوي عبى تقنية ال dots مما يعطي نتائج وأداء ضعيف ونسبة أمان متدنية .

ملخص مؤتمر أبل ٢٠١٧/٠٩/١٢

تم الإعلان في مؤتمر أبل السنوي بتاريخ 12 سبتمبر 2017 عن منتجات أبل وهي كالتالي: ساعة apple watch و apple TV وأخيرا الآيفون. ويختلف مؤتمر هذه السنة عن باقي المؤتمرات بقلة المنتجات المعروضة لمثل هذا الحدث السنوي وقد أستهل طوم كوك الرئيس التنفيذي لشركة أبل بداية حديثة عن المبنى الجديد لشركة أبل المحافظ للبيئة ليغطي تلك الدقائق الشاغرة ربما عن المنتجات التي لم يتم تحديثها.

كان أهم إضافة تقنية في المنتج الأول apple watch والذي حقا أبهرني هي بطاقة e-sim الإفتراضية المدمجة مع الساعة بحيث أنها تتيح للمستخدم إستخدام بيانات الأنترنت والإتصال دون الحاجة لقرب هاتف الآيفون، بالإضافة للمزايا الأخرى من تشغيل الموسيقى وقراءة مفصلة لنبضات القلب وإلخ من المزايا المضافة للساعة كونها تربعت على عرش الساعات الأكثر مبيعا في العالم تاركةً خلفها شركة روليكس في المركز الثاني، مع العلم أن الساعة حافظة على سعرها برغم وجود هذا الكم من الإضافات ولا أنسى أن أختم حديثي عن الساعة بحملها معالج يحمل نواتين يعززان قوة أداء الجهاز وجهد أقل للبطارية.

أما المنتج الثاني apple tv فهو الآخر رغم تأخره ركب التقنية في دعم تقنية 4K و HDR إلا أن العودة كانت رائعة بحيث أن الجهاز لم يأتي بدعم تقنيتين وكفى بل تم إضافة معالج الآيباد برو في جهاز apple tv مع حفاظة على السعر السابق. هذا المعالج سوف يعطي إضافة قوية للجهاز لعرض البرامج الرياضية المباشرة في قائمة متعددة المحتوى. أضف الى ذلك المساحة الكبيرة التي سيحصل علها مطوري الألعاب في هذا الجهاز المتعدد المهام الترفيهي.

وأخيراً وليس آخرا نأتي للحدث الأهم في المؤتمر وهو الإعلان للجيل الجديد للآيفون وكانت بداية سيئة وهي إعادة تصنيع بقايا العتاد للآيفون 7 المتراكمة في المصناع وإستبدال خلفية الجهاز من الألمنيوم للزجاج لدعم خاصية الشحن اللاسلكي مع تغييرات طفيفة للشاشة وإضافة شاشة ريتينا HD وتطوير طفيف للكامرات وإضافة معالج سداسي النواة أسرع ب 25% وبعض الإضافات ولا أنسى المسمى الذي ستحمله السلسلة آيفون 8 .

نختم الملخص بالآيفون الإستثنائي بمناسبة مرور 10 سنوات على صنع أول آيفون والذي يأتي تحت مسمى بالآيفون x والتي تعني بالأغريقية الرقم 10 وكما جاء في التسريبات شاشة بحجم 5.8 تغطي واجهة الجهاز تقريبا بدون زر في الأسفل وحذف بصمة الإصبع وإستبدالها ببصمة الوجه مع حواف من الستيل وخلفية زجاجية وشاشةSuper OLED مشبعة الألوان وحساسات في أعلى الشاشة لقراءة دقيقة للوجه لتأمن وتسرع من عملية فتح الجهاز حتى في الظلام ويأتي بلونيني فضي مطفي وأسود مطفي ومعالج أقوى ودقة شاشة 2436*1125 ودعمها لتقنية HDR وكامرة خلفية مزدوجة بدقة 12MP وفتحة عدسة 2.4/F وتفاصيل أخرى من الصعب أن تفهموها إلا للأشخاص المهتمين بتفاصيل الكامرات. وطبعا معالج جديد سداسي النواة وذاكرة عشوائية 3 جيجا وسعة تخزين تبدأ من 64 جيجا ودعم للشحن اللاسلكي والشحن السريع ومقاوم للماء والغبار لمعيار IP67. وتقنية الواقع المعزز(أنصح بمشاهدة فيديوهات) للتعرف على هذه التقنية.

هذه تقريبا مزايا الآيفون إكس فهل يستحق الإقتناء؟

في البداية أنوه أن هذه المزايا جلها موجودة منذ سنوات في أنظمة الأندرويد ولكن الأختلاف هو أنها موجودة في أجهزة أبل وهذا يعني تجربة مختلفة تماما من نواحي عدة السهولة، السرعة الامان، وإستغلال المزايا لوظائف خاصة بمحتوى أبل من برامج وإلخ. فكما تعودنا أن أبل دائما تعيد صناعة الإبتكارات بطريقتها الخاصة مما تعطي تجربة رائعة للمستخدم فمثلا شاشة اللمس موجودة من قبل الآيفون ولكن لم تكن بتلك الرصانة والعملية في الإستخدام وهذا الأمر ينعكس على برامج وتقنيات أخرى فليس المعيار وجود هذه التقنيات سابقا في أنظمة وأجهزة أخرى بل أداء وعملية هذه التقنيات. أضف إلى ذلك إلى أن مستخدمي الآيفون الذين تعودوا على هذا النظام هم المعنيون في الدرجة الأولى في التغيير على عكس مستخدمي الأندرويد الذين لا حاجة لهم لتغيير هواتفهم إلى الآيفون إكس وفي النهاية المنتجات ليست حكرا على شركات بعينها فكل فئة في هذا العالم لها من يستهدفها وشخصيا أنصح لمن يملك المال بتغيير هاتفه الآيفون إلى الآيفون إكس أما الذي يمتلك هاتف بنظام أندرويد ومستمع مع نظامه فأنصحه هو الآخر بالأبقاء على أستخدام هاتفه إن كان يملك هذه المزايا .

شركة MI تعلن عن هاتف شاومي Mi 6

أعلنت شركة MI  عن هاتف شاومي Mi 6

الهاتف يأتي بمواصفات عالية وتصميم برّاق ويحمل كامرتين مزدوجتين من خلف الشاشة 

وهنا بعضاً من مواصفاته الأساسية

‏5.1 FHD

‏SN835

رام 4/6

سعة 64/128/256

كاميرا 12&8

أندرويد نوغا 7.1 

خدمة الدفع من خلال الهاتف سامسونج بي ستنطلق من الإمارات

في الموقع الرسمي لسامسونج أظهر العد التنازلي للإطلاق خدمة سامسونج بي والتي ستبدأ من حسابات لستة بنوك رائدة في الإمارات . هذه الخدمة ستغنيك عن حمل البطاقة الإئتمانية، فكل ما عليك هو تسجيل بيانات بطاقتك على الجهاز ومن ثم ستتفعل الخدمة وستحتاج أيضاً لتفعيل ميزة البصمة أو خاصية تحقق آخرى أثناء إستخدام الهاتف في المحلات إبان الدفع . وستكون طبيعة الدفع من خلال وضع الهاتف على جهاز التمرير لإنهاء عملية الدفع

 

1counter-device

تسريبات iphone x

تسربت بعض الصور لحجم شاشة الايفون القادم  التي أبعاده تصل إلى 5.78 انش مع مع سينسور 3D من الامام، فضلاً عن الشاشة التي ستكون ممتلئة في واجهة الجهاز الأمامية وإحتمالية إنتقال بصمة الإصبع إلى خلف الجهاز إذا ما نجحت أبل بتطوير بصمة أمامية في الشاشة.

هذه بعض التسريبات الأولية للجهاز تابعوا المدونة لمعرفة أحدث التسريبات والاخبار التقنية الرسمية

خدمات تحويل الأموال من خلال تطبيقات الدردشة وحقبة حانقة قادمة للبنوك

في الصين وحسب تجربة أحد الأصدقاء عندهم ميزة الدفع الالكتروني والتحويل الالكتروني عن طريق تطبيق دردشة ويتشات We chat
حتى في محلات الفواكهة

واليوم نسمع عن نية وآتساب إضافة هذه الميزة في منصتها بعد ٦ أشهر وستبدأ من الهند

هذه الميزة وتبعاتها ستسبب الصداع لدى مصارف تحويل الاموال وكذلك البنك مسقط الذي يتقاضى عوائد كثيرة جراء خلقه مسار تحويل سريع للاموال الى الهند مقابل مبلغ ريال واحد لكل عملية وبمبلغ محدود يومي

وبذلك نتوقع منطقياً ان البنك سيخسر سبيل عائد ليس بالقليل وستتناقص ارباحه حتى والدائع المتراكمة من العملاء العاديين والمتوسطين ستنقص من خزينة البنك ولن يقف البنك مكتوف الايدي سيرفع معدل فوائده وقد يقيل افراده العاملين في هذا الحقل

وسلموا لي على الرؤية الثاقبة والسادة خبراء ادارة المخاطر

وهذه البداية في عوالم التقنيةwhatsapp-07-1475840197