دیروز، کنسرسیوم تارنمای گسترده جهانی (World Wide Web Consortium – W3C) استاندارد جدیدی را با هدف حذف پسورد به عنوان ابزاری برای محافظت از حساب‌های کاربری، به تصویب رساند. استاندارد «احراز هویت تحت وب» یا همان WebAuthn، که برای اولین بار در سال گذشته رونمایی شد، در اکثر مرورگرها مانند کروم، فایرفاکس، سافاری و مایکروسافت اج پشتیبانی می‌شود. تصویب این روش به عنوان یک استاندارد رسمی، راه را برای پذیرش گسترده‌ی این استاندارد توسط سایت‌ها هموار خواهد کرد.

در واقع، استاندارد احراز هویت وب یک رابط برنامه‌نویسی (API) است که به سایت‌ها این امکان را می‌دهد تا برای لاگین کردنِ کاربران خود، به یک ابزار امنیتی متصل شوند. این ابزار امنیتی می‌تواند یک کلید سخت‌افزاری ساده با رابط یو اس بی یا یک دستگاه پیچیده‌تر مانند ابزارهای بیومتریک باشد. نکته اصلی این است که این استاندارد بسیار امن‌تر از رمزهای عبور ضعیفی است که در اینترنت استفاده می‌شود. همچنین، این روش بسیار ساده‌تر از به خاطر سپردن پسوردهای متعدد است.

حالا که W3C این استاندارد را تایید کرده است، مرحله بعدی پیاده‌سازی آن توسط سایت‌ها خواهد بود. دارپ‌باکس جزو اولین سایت‌هایی بود که سال گذشته استاندارد احراز هویت تحت وب را پیاده‌سازی کرد؛ اندکی پس از آن مایکروسافت هم با پیاده‌سازی این استاندارد، به دراپ‌باکس پیوست. گرچه هنوز تا حذف کامل رمز عبور زمان زیادی باقی است، تصویب این استاندارد آن را یک قدم به جایگزینی رمزهای عبور نزدیک‌تر کرده است.

گروهی از محققان آسیب‌پذیری جدیدی در رابط انتقال داده تاندربولت (Thunderbolt) کشف کردند. این آسیب‌پذیری که تاندرکلپ (Thunderclap) نام گرفته، تمام کامپیوترهایی که از تاندربولت (دیسپلی‌پورت و یو‌اس‌بی C) استفاده می‌کنند را تحت تاثیر قرار می‌دهد.

آن‌طور که کاشفان این آسیب‌پذیری توضیح داده‌اند، تاندرکلپ از دسترسی مستقیم حافظه DMA سوءاستفاده می‌کند. این دسترسی به همه تجهیزاتی که از این پورت استفاده می‌کنند، داده می‌شود و تا زمانی که پیشگیری‌های مناسب صورت نگیرد، هکرها امکان نفوذ به رایانه و سرقت اطلاعات یا اجرای کدهای مخرب را خواهند داشت.

این دسترسی درست مانند دسترسیِ سطح سیستم عامل است که به تجهیزات دیگر مانند کارت گرافیک یا کارت شبکه داده می‌شود. با توجه به اینکه تاندربولت طوری طراحی شده تا این امکانات را به صورت اکسترنال در اختیار کاربر قرار دهد،‌ به این دسترسی نیاز دارد اما ماهیت اکسترنال تاندربولت، این رابط را آسیب‌پذیرتر کرده است؛ چراکه اتصال یک دستگاه از طریق پورت بسیار آسان‌تر از باز کردن کامپیوتر و اتصال یک کارت گرافیک مخرب است.

آسیب‌پذیری تاندرکلپ منحصر به تاندربولت ۳ (یو‌اس‌بی) نبوده و پورت‌های قدیمی‌تر (دیسپلی‌پورت) را هم تحت تاثیر قرار می‌دهد. گرچه اپل و مایکروسافت در آپدیت‌های نسخه‌های اخیر سیستم عامل‌های مکینتاش و ویندوز ۱۰ این آسیپ‌پذیری را رفع کرده‌اند، اما همیشه به یاد داشته باشید که هر شارژر یا تجهیزات اکسترنالی را به کامپیتور خود وصل نکنید. با وجود اینکه بسیاری از رایانه‌ها مجهز به پورت‌های تاندربولت نیستند، این ماجرا نشان‌دهنده‌ی این است که حتی جدیدترین استاندارد‌ها و لوازم جانبی هم بی‌نقص نیستند.

انتشار قابلیت حذف تاریخچه فیسبوک، که قرار بود به عنوان ابزاری برای پاک کردن فعالیت کاربران در این شبکه اجتماعی مورد استفاده قرار گیرد، تا پایان سال جاری به تعویق افتاد. این قابلیت به کاربران فیسبوک اجازه خواهد داد تا جلوی استفاده سایت‌ها و ابزارهای ثالث از اطلاعاشان را بگیرند.

وعده‌ی این ابزار برای حذف تاریخچه فیسبوک، ماه می سال گذشته و با هدف برگرداندن اعتبار فیسبوک داده شده بود. در آن زمان، مارک زوکربرگ این ویژگی را به ابزار حذف تاریخچه مرورگرهای اینترنتی تشبیه کرده و قدمی مثبت برای بازسازی وجهه‌ی این شرکت بعد از ماجرای کمبریج آنالیتیکا عنوان کرده بود: «در مرورگرهای اینترنتی، شما راهکاری ساده برای پاک کردن تاریخچه و کوکی‌های خود دارید. گرچه بسیاری از سایت‌ها برای عملکرد مناسب به این کوکی‌ها احتیاج دارند ولی همیشه باید امکان پاک کردن آن‌ها وجود داشته باشد. ما در حال ساخت ابزاری مشابه در فیسبوک هستیم که به شما این امکان را می‌دهد تا به سادگی تاریخچه فیسبوک خود را، شامل صفحات بازدیدشده، کلیک‌ها و غیره، پاک کنید.»

هنوز نحوه عملکرد دقیق این ابزار مشخص نیست اما بسیاری از ابزارهای تجزیه و تحلیل و ردیاب‌های فیسبوک که فعالیت کاربران در سایت و بیرون آن را پایش می‌کنند، به این اطلاعات وابسته‌اند. بنابراین ابزاری برای حذف تاریخچه، تاثیر زیادی روی قابلیت تبلیغات هدفمند در فیسبوک خواهد گذاشت. علیرغم تاثیری که این ویژگی روی تجارت تبلیغاتی فیسبوک خواهد داشت، زاکربرگ این ابزار را برای جلب اعتماد کاربران فیسبوک ضروری می‌داند.

بنا به گزارشات، مراحل تست این ویژگی در بهار آینده آغاز خواهد شد.

گوگل که از سال ۲۰۱۴ با خرید کمپانی نِست وارد عرصه امنیت خانگی شده است، در اوایل ماه جاری اعلام کرد که کاربران دستگاه‌های هشدار و امنیت خانگی نِست می‌توانند با آپدیت کردن دستگاه خود از دستیار هوشمند گوگل استفاده کنند. این در حالی است که وجود میکروفن در این دستگاه‌ها توسط گوگل اعلام نشده بود و دفترچه راهنما و مشخصات فنی دستگاه نیز هیچ اشاره‌ای به وجود میکروفن نکرده بودند.

با توجه به اینکه هیچ کدام از کاربران از وجود این میکروفون آگاه نبودند، این موضوع می‌تواند برای گوگل دردسرساز شود. البته سخنگوی گوگل در  مصاحبه‌ای که با بیزنس اینسایدر داشته، خطای گوگل را پذیرفته و اعلام کرده است که وجود این میکروفن قرار نبوده مخفی باشد و خطای گوگل باعث شد تا این قابلیت در مشخصات فنی دستگاه ذکر نشود: «این میکروفن هیچ وقت روشن نشده و تا زمانی که کاربر آن را فعال نکند روشن نخواهد شد. اکثر دستگاه‌های امنیتی از میکروفن برای تشخیص صدای محیط استفاده می‌کنند. وجود میکروفن در دستگاه‌های ما نیز برای ارائه خدمات اضافی در آینده، مانند سیستم تشخیص صدای شکستن شیشه بود».

یک سال پس از تولید موفق پرچمدار P20، هواوی مجددا به پاریس پایتخت فرانسه برگشته تا از پرچمدار P30 رونمایی کند. هواوی در توییتی که امروز منتشر کرد، تاریخ رونمایی گوشی جدید خود را ۲۶ مارچ، یعنی کمتر از یک ماه دیگر اعلام کرده است. هواوی همراه با این توییت، عکس‌هایی زوم شده از برج ایفل، کلیسای نوتردام و طاق پیروزی نیز منتشر کرده است. به نظر می‌رسد این عکس‌ها اشاره‌ای به قابلیت‌های تصویربرداری دوربین جدید گوشی هواوی P30 داشته باشد.

این در حالی است که بنیانگذار هواوی در اولین مصاحبه خود بعد از دستگیری دخترش، گفته هواوی مهم‌تر و بزرگ‌تر از آن است که از بین برود. او در این مصاحبه، که با بی بی سی انجام شده است، اعلام کرد که اتهامات و کیفرخواست‌های دولت آمریکا برای شکست هواوی کافی نیستند. دختر بنیانگذار هواوی در کانادا و به درخواست آمریکا دستگیر شد؛ دولت آمریکا تقاضای استرداد او را دارد تا در دادگاه از اتهامات خود دفاع کند.

هواوی در ایالات متحده تحت بازرسی‌های موشکافانه‌ای قرار دارد، مقامات آمریکایی هم بارها از امکان فعالیت‌های جاسوسی دولت چین بوسیله تجهیزات هواوی ابراز نگرانی کرده‌اند. همچنین انتظار می‌رود دونالد ترامپ، رئیس جمهور آمریکا، طی یک فرمان اجرایی فروش تجهیزات هواوی در آمریکا را محدود کند.

علاوه بر این، سازمان‌های امنیتی بریتانیا هم اعلام کرده‌اند که استفاده از تجهیزات 5G هواوی یک ریسک امنیت سایبری به شمار می‌آید. با توجه به اینکه بریتانیا تنها کشور اروپایی است که در اتحادیه اطلاعاتی فایو آیز (شامل ۴ کشور دیگر: آمریکا، کانادا، نیوزیلند و استرالیا) حضور دارد، تصمیمات این کشور بر سایر کشورهای اروپایی نیز تاثیرگذار خواهد بود زیرا بریتانیا به اطلاعاتی دسترسی دارد که بقیه کشورهای اتحادیه اروپا ندارند.

 

مدت زمان زیادی است که توییتر به کاربران خود اجازه می‌دهد تا پیام‌های خصوصی را در سمت خود پاک کنند، گیرنده نیز در سمت خود بطور مستقل این اختیار را دارد تا پیام مورد نظر را حذف کند. اما آن طور که پیداست این پیام‌ها واقعا حذف نمی‌شوند. ظاهرا توییتر، برخلاف اعلان حذف پیام کاربر، آن‌ها را برای سال‌ها روی سرورهایش نگهداری می‌کند. کاربران با دانلود کردن آرشیو داده‌های خود در توییتر، می‌توانند به راحتی به این داده‌ها دسترسی داشته باشند. طبق بررسی‌های انجام شده، حتی پیام‌های ارسالی یا دریافتی از کاربران پاک شده یا غیرفعال نیز در این آرشیوها موجود است.

البته شاید این باگ آنچان نگران کننده نباشد، چرا که فقط خود کاربر به این داده‌ها دسترسی خواهد داشت. اما این واقعیت که توییتر پیام‌های کاربران را نگه می‌دارد، در حالی که به آن‌ها گفته این پیام‌ها پاک شده‌اند، جلوه‌ی خوبی برای توییتر نخواهد داشت. در هر صورت، این خبر تذکری جدی برای کاربران است تا به خاطر داشته باشند که بعید است چیزی از اینترنت پاک شود.

یک روز پس از انتشار خبر پایش اطلاعات خصوصی نوجوانان توسط فیسبوک، اپل گواهینامه سازمانی فیسبوک را غیرفعال کرده است. پایش این اطلاعات بوسیله برنامه تحقیقاتی فیسبوک روی گوشی‌های اندروید و آیفون متقاضیان انجام می‌گرفت. این برنامه، خارج از اپ استور و در چارچوب پلتفرم سازمانی اپل منتشر شده بود که به توسعه‌دهنده این اجازه را می‌داد تا با استفاده از گواهینامه‌های سازمانی روت، برنامه‌های قدرتمندتری را روی گوشی کارمندان خود نصب کند. با مسدود کردن گواهینامه سازمانی فیسبوک، بسیاری از برنامه‌های کاربردی دیگر فیسبوک نیز تحت تاثیر قرار گرفته و از دسترس خارج شدند؛ این برنامه‌ها شامل نسخه‌های بتای فیسبوک، اینستاگرام و پیامرسان فیسبوک و همچنین دیگر برنامه‌های درون سازمانی فیسبوک می‌شدند.

حالا یک روز بعد از قطع گواهینامه سازمانی فیسبوک، اپل مجددا این گواهینامه را فعال کرده است. ظاهرا این مسدودسازی یک روزه، که بدون توجه به حذف برنامه تحقیقاتی توسط فیسبوک، صورت گرفته است، هشداری جدی از طرف اپل به فیسبوک باشد.

امروزه متقاعد کردن افراد به جدی گرفتن امنیت اطلاعات کار بسیار سختی است. نصب آپدیت، عوض کردن دوره‌ای رمز عبور و قبول نکردن دسترسی‌های بی‌مورد، همه‌ی این موارد کارهای طاقت‌فرسایی هستند که بی‌پایان به نظر می‌رسند. شاید به همین دلیل است که دنیا به نمادی مانند تیلور سویفت برای تحریک آن‌ها به جدی گرفتن امنیت اطلاعات نیاز دارد.

این ابرستاره سال‌هاست که به صورت مداوم نگرانی‌های خود از حفظ امنیت اطلاعات و  حریم خصوصی را به صورت عمومی ابراز می‌کند. تیلور سویفت، در مصاحبه‌ای که در سال ۲۰۱۴ با مجله‌ی رولین استون داشت، گفته بود که تنها نسخه‌ای که از آلبوم آینده‌اش دارد، روی گوشی شخصی‌اش ذخیره شده و فقط با هدفون به آن گوش می‌کند، چراکه از استراق سمع واهمه دارد؛ به گفته خودش، «جنبه‌های زیادی از فناوری‌های روز وجود دارد که او هیچ دانشی نسبت به آن‌ها ندارد».

شاید حالا که باگ امنیتی فیس تایم آشکار شده است، حرف‌های تیلور سویفت نه تنها «تئوری توطئه» گونه به نظر نرسد، بلکه به عنوان یک پیشگویی از آینده تلقی شود. احتیاط بیش از اندازه تیلور سویفت باعث شده تا طرفداران او یک صفحه در حوزه امنیت سایبری در توییتر بسازند. این صفحه با نام SwiftOnSecurity در این آدرس در دسترس بوده و به عنوان یکی از منابع آموزنده در این حوزه شناخته می‌شود.

در هر صورت اگر دوست ندارید از منابع مرتبط با تیلور سویفت، توصیه‌های امنیتی خود را دریافت کنید، حداقل از دشمنش کانیه وست که رمز آیفونش شش تا صفر است، دوری کنید!

بر اساس یک گزارش جدید، فیسبوک طی ۳ سال گذشته به داوطلبانی که اطلاعات خصوصی خود را در اختیار فیسبوک قرار می‌دادند، ماهیانه تا ۲۰ دلار پرداخت کرده است. طبق این گزارش، این مبلغ به جوانان ۱۳ تا ۲۵ سال و در ازای نصب برنامه تحقیقاتی فیسبوک روی گوشی‌های اندروید و اپلِ آن‌ها داده شده است؛ این برنامه با پایش گوشی و فعالیت‌های آنلاین کاربران، اطلاعات آن‌ها را جمع آوری کرده و برای فیسبوک ارسال می‌کند.

البته این اولین بار نیست که فیسبوک از این روش‌ برای پیشبرد اهدافش استفاده کرده است. فیسبوک در سال ۲۰۱۳ هم با خرید نرم‌افزار وی پی ان Onvato Protect، اطلاعات بسیاری از کاربران را به دست آورده بود که به خصوص برای شناسایی رقبای فیسبوک و خرید آن‌ها، بسیار ارزشمند بود. البته سال گذشته و بعد از شکایت اپل در خصوص نقض قوانین مربوط به جمع‌آوری داده‌ها، فیسبوک این نرم‌افزارِ وی پی ان را از اپل استور حذف کرد.

برنامه تحقیقاتی فیسبوک با نصب یک گواهینامه روت (root) به فیسبوک این اجازه را می‌دهد تا به اطلاعات خصوصی مانند پیام‌ها، ایمیل‌ها، کلمات جستجو شده و تاریخچه وب کاربران دسترسی داشته باشد. همچنین این برنامه با گرفتن اسکرین شات از سبد خرید آمازون، آن را برای فیسبوک ارسال می‌کند.

به نظر می‌رسد این برنامه ناقض سیاست‌های اپل در خصوص گواهینامه‌های سازمانی با دسترسی روت باشد. استفاده از این گواهینامه‌ها، که برای نظارت کارمندان توسط کارفرماهایشان کاربرد دارد، در گوشی‌های اپل ممنوع است. البته سخنگوی فیسبوک اعلام کرده که این برنامه ناقض قوانین اپل نیست، اما توضیح بیشتری نداده است.