⚠️ آب در دست دارید زمین بگذارید و فوراً آخرین وصلهی امنیتی منتشر شده برای ویندوز را نصب کنید❗️
🔴 کشف ۴ آسیبپذیری Wormable در ریموت دسکتاپ ویندوز
🔷 خبرها حاکی از آن است که سیستمعامل ویندوز حاوی ۴ آسیبپذیری جدید wormable و قابل اجرا از راه دور مشابه آسیبپذیری BlueKeep درRDP که اخیراً وصله شد میباشد
🔸 از آنجا که آسیبپذیریهای مذکور wormable هستند، در صورت عدم بروزرسانی سیستم با آخرین وصله امنیتی منتشر شده، این آسیبپذیریها میتوانند مانند بدافزارهای WannaCry و NotPetya که در سال ۲۰۱۷ قربانیان زیادی گرفتند و هنوز هم میگیرند، به صورت بدافزار توزیع شده و خسارات جبرانناپذیری به بار آورند...
✅ کاربران با فعالسازی قابلیت بهروزرسانی خودکار ویندوز نیز قادر به دریافت وصلهها میباشند.
MITRE CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
MITRE CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
📎 متن کامل خبر 👇
🌐 https://cert.ir
🦁«کتاس»
http://t.me/ict_security
🔴 کشف ۴ آسیبپذیری Wormable در ریموت دسکتاپ ویندوز
🔷 خبرها حاکی از آن است که سیستمعامل ویندوز حاوی ۴ آسیبپذیری جدید wormable و قابل اجرا از راه دور مشابه آسیبپذیری BlueKeep درRDP که اخیراً وصله شد میباشد
🔸 از آنجا که آسیبپذیریهای مذکور wormable هستند، در صورت عدم بروزرسانی سیستم با آخرین وصله امنیتی منتشر شده، این آسیبپذیریها میتوانند مانند بدافزارهای WannaCry و NotPetya که در سال ۲۰۱۷ قربانیان زیادی گرفتند و هنوز هم میگیرند، به صورت بدافزار توزیع شده و خسارات جبرانناپذیری به بار آورند...
✅ کاربران با فعالسازی قابلیت بهروزرسانی خودکار ویندوز نیز قادر به دریافت وصلهها میباشند.
MITRE CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
MITRE CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
📎 متن کامل خبر 👇
🌐 https://cert.ir
🦁«کتاس»
http://t.me/ict_security
🔴 نقص در آنتی ویروس کسپرسکی موجب ردیابی کاربران میشود...
🔷 این آسیبپذیری که با شناسه CVE-2019-8286 معرفی شده است، شناسه ی یکتای اختصاص داده شده به کاربران را برای هر وب سایتی که کاربر در طول 4 سال گذشته بازدید کرده است فاش میکند.
🔶 این امر به وبسایتهای بازدید شده و سرویسهای شخص ثالث تجاری اجازه میدهد که حتی در صورت حذف یا بلاک کردن کوکیها، کاربران آنلاین را ردیابی کنند.
🔷 این آسیبپذیری در ماژول اسکن URL کسپرسکی، موسوم به Kaspersky URL Advisor وجود دارد.
🔶 نسخههای تحت تأثیر:
▪️Kaspersky Anti-Virus up to 2019
▪️Kaspersky Internet Security up to 2019
▪️Kaspersky Total Security up to 2019
▪️Kaspersky Free Anti-Virus up to 2019
▪️Kaspersky Small Office Security up to 6
🦁«کتاس»
http://t.me/ict_security
🔷 این آسیبپذیری که با شناسه CVE-2019-8286 معرفی شده است، شناسه ی یکتای اختصاص داده شده به کاربران را برای هر وب سایتی که کاربر در طول 4 سال گذشته بازدید کرده است فاش میکند.
🔶 این امر به وبسایتهای بازدید شده و سرویسهای شخص ثالث تجاری اجازه میدهد که حتی در صورت حذف یا بلاک کردن کوکیها، کاربران آنلاین را ردیابی کنند.
🔷 این آسیبپذیری در ماژول اسکن URL کسپرسکی، موسوم به Kaspersky URL Advisor وجود دارد.
🔶 نسخههای تحت تأثیر:
▪️Kaspersky Anti-Virus up to 2019
▪️Kaspersky Internet Security up to 2019
▪️Kaspersky Total Security up to 2019
▪️Kaspersky Free Anti-Virus up to 2019
▪️Kaspersky Small Office Security up to 6
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
کانال تخصصی امنیت سایبری «کتاس»
فیسبوک چرا و چگونه پیامهای صوتی کاربرانش را شنود میکرد؟ فیسبوک به پیمانکارانی خارج از این مجموعه پول پرداخت میکرد تا پیامهای صوتیای را که در بین کاربران این شبکه از طریق پیامرسان رد و بدل میشد به متن تبدیل کنند. فیسبوک این «شنود» را تایید کرده است…
چطور از شر جاسوسی فیسبوک در امان بمانیم؟
اگر میخواهید از تجسس فیسبوک در امان بمانید، بهترین راه این است که همین حالا اپلیکیشن مسنجر فیسبوک را از روی موبایلهای خود پاک کنید و برای پیامرسانی به نسخه دسکتاپ آن اکتفا کنید. گذشته از این، بهتر است در تنظیمات دسترسیها، دسترسی همه اپلیکیشنهای جانبی به میکروفون موبایلتان را مسدود کنید. توصیه متخصصان امنیت این است که کاربران برای ارسال پیامهای صوتی از سرویسهای مطمئنتری نظیر سیگنال استفاده کنند.
🦁«کتاس»
http://t.me/ict_security
اگر میخواهید از تجسس فیسبوک در امان بمانید، بهترین راه این است که همین حالا اپلیکیشن مسنجر فیسبوک را از روی موبایلهای خود پاک کنید و برای پیامرسانی به نسخه دسکتاپ آن اکتفا کنید. گذشته از این، بهتر است در تنظیمات دسترسیها، دسترسی همه اپلیکیشنهای جانبی به میکروفون موبایلتان را مسدود کنید. توصیه متخصصان امنیت این است که کاربران برای ارسال پیامهای صوتی از سرویسهای مطمئنتری نظیر سیگنال استفاده کنند.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
Forwarded from IACS (Pedram Kiani)
کشف آسیب پذیری جدید در دستگاه های اتوماسیون ساختمان متصل به اینترنت Bacnet
دستگاه های هوشمند متصل به اینترنت که در خصوصیات تجاری و صنعتی بی شماری مورد استفاده قرار می گیرند، در معرض یک حمله مخرب جدید قرار گرفته اند. این آسیب پذیری از ویژگی های موجود در پروتکل اتوماسیون ساختمان (Bacnet) بهره می برد که به تکنسین ها و مهندسین امکان نظارت، تغییر تنظیمات و کنترل از راه دور طیف گسترده ای از سیستم های هوشمند کلیدی را می دهد که بر کنترل دما و سایر سیستم های نظارت تأثیر می گذارند. به گزارش وبسایت تخصصی امنیت اتوماسیون صنعتی (http://ics-cert.ir)، محققان ساخت و ساز هوشمند متصل به اینترنت که در خصوصیات تجاری و صنعتی بی شماری مورد استفاده قرار می گیرند ، در معرض یک حمله مخرب جدید قرار گرفته اند. ادامه مطلب…
💡 برای کسب اطلاعات تکمیلی و راهکارهای کاهش آسیب پذیری به آدرس زیر مراجعه کنید:
http://ics-cert.ir/?p=192
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
دستگاه های هوشمند متصل به اینترنت که در خصوصیات تجاری و صنعتی بی شماری مورد استفاده قرار می گیرند، در معرض یک حمله مخرب جدید قرار گرفته اند. این آسیب پذیری از ویژگی های موجود در پروتکل اتوماسیون ساختمان (Bacnet) بهره می برد که به تکنسین ها و مهندسین امکان نظارت، تغییر تنظیمات و کنترل از راه دور طیف گسترده ای از سیستم های هوشمند کلیدی را می دهد که بر کنترل دما و سایر سیستم های نظارت تأثیر می گذارند. به گزارش وبسایت تخصصی امنیت اتوماسیون صنعتی (http://ics-cert.ir)، محققان ساخت و ساز هوشمند متصل به اینترنت که در خصوصیات تجاری و صنعتی بی شماری مورد استفاده قرار می گیرند ، در معرض یک حمله مخرب جدید قرار گرفته اند. ادامه مطلب…
💡 برای کسب اطلاعات تکمیلی و راهکارهای کاهش آسیب پذیری به آدرس زیر مراجعه کنید:
http://ics-cert.ir/?p=192
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
افشای اطلاعات هزاران روزنامهنگار در نمایشگاه E۳ ۲۰۱۹ ( نمایشگاه سرگرمیهای الکترونیکی)
چند ماه پیش نمایشگاه سرگرمی الکترونیکیE۳ ، تبلیغات بالای رسانهای را به خود اختصاص داده بود. اکنون رویدادی که به مدت سه روز در ژوئن ۲۰۱۹ رخ داده است، بار دیگر آن را به صفحه اخبار رسانهای وارد کرده است. با این حال، این بار اوضاع چندان مثبت نیست! انجمن نرمافزارهای سرگرمی(ESA) که در پشت E۳ ۲۰۱۹ فعالیت میکند به دلیل یک نقص در وبسایت، اطلاعات هزاران پرسنل رسانهای ثبت شده را فاش کرده است.
به گزارش کتاس، وبسایت نمایشگاه سرگرمیهای الکترونیکی، یک نقص امنیتی بزرگ داشت که منجر به رخنه اطلاعات شد. این نقص منجر به نشت اطلاعات حساس هزاران روزنامهنگار و تحلیلگرِ شرکت کننده در این نمایشگاه شد. این خبر توسط کانال یوتیوبیِ روزنامهنگاری به نام Sophia Narwitz، منتشر شد. وبسایت ESA شامل جزئیات شرکتکنندگان نمایشگاه E۳ ۲۰۱۹ از صنعت رسانه است. جزئیات در قالب یک صفحه گسترده گردآوری شده بود که اطلاعات بیش از ۲۰۰۰ روزنامهنگار، سازندگان محتوای YouTube و تحلیلگران مالی وال استریت را در اختیار داشت.
همانطور که توسط VentureBeat توضیح داده شده است، نمایشگاه ESA در هنگام اعطای "Press Badges" به شرکتکنندگان، اطلاعات خاصی را از آنها جمعآوری کرد. این اطلاعات شامل نام ثبتنام کننده، شماره تماس، آدرسِ منزل و غیره بود. نمایشگاه ESA سپس این اطلاعات را برای به اشتراکگذاری با شرکتهای عضو جمعآوری کرد. با این حال، اطلاعاتی که منحصرا برای برخی افراد بود به دلیل وجود نقص در وبسایت، در معرض عموم قرار گرفت و احتمال سوء استفاده از آن وجود دارد.
همانطور که Sophia Narwitz در ویدئوی خود اظهار داشت، راهی این شرکت شد تا آنها را از وجود این نقص مطلع کند. خوشبختانه ESA ظرف چند ساعت بعد از این گزارش، دادهها را از دسترس خارج کرد. با این حال، مشخص نیست که کسی به اطلاعات دسترسی پیدا کرده است یا خیر.
منبع:https://latesthackingnews.com
🦁«کتاس»
http://t.me/ict_security
چند ماه پیش نمایشگاه سرگرمی الکترونیکیE۳ ، تبلیغات بالای رسانهای را به خود اختصاص داده بود. اکنون رویدادی که به مدت سه روز در ژوئن ۲۰۱۹ رخ داده است، بار دیگر آن را به صفحه اخبار رسانهای وارد کرده است. با این حال، این بار اوضاع چندان مثبت نیست! انجمن نرمافزارهای سرگرمی(ESA) که در پشت E۳ ۲۰۱۹ فعالیت میکند به دلیل یک نقص در وبسایت، اطلاعات هزاران پرسنل رسانهای ثبت شده را فاش کرده است.
به گزارش کتاس، وبسایت نمایشگاه سرگرمیهای الکترونیکی، یک نقص امنیتی بزرگ داشت که منجر به رخنه اطلاعات شد. این نقص منجر به نشت اطلاعات حساس هزاران روزنامهنگار و تحلیلگرِ شرکت کننده در این نمایشگاه شد. این خبر توسط کانال یوتیوبیِ روزنامهنگاری به نام Sophia Narwitz، منتشر شد. وبسایت ESA شامل جزئیات شرکتکنندگان نمایشگاه E۳ ۲۰۱۹ از صنعت رسانه است. جزئیات در قالب یک صفحه گسترده گردآوری شده بود که اطلاعات بیش از ۲۰۰۰ روزنامهنگار، سازندگان محتوای YouTube و تحلیلگران مالی وال استریت را در اختیار داشت.
همانطور که توسط VentureBeat توضیح داده شده است، نمایشگاه ESA در هنگام اعطای "Press Badges" به شرکتکنندگان، اطلاعات خاصی را از آنها جمعآوری کرد. این اطلاعات شامل نام ثبتنام کننده، شماره تماس، آدرسِ منزل و غیره بود. نمایشگاه ESA سپس این اطلاعات را برای به اشتراکگذاری با شرکتهای عضو جمعآوری کرد. با این حال، اطلاعاتی که منحصرا برای برخی افراد بود به دلیل وجود نقص در وبسایت، در معرض عموم قرار گرفت و احتمال سوء استفاده از آن وجود دارد.
همانطور که Sophia Narwitz در ویدئوی خود اظهار داشت، راهی این شرکت شد تا آنها را از وجود این نقص مطلع کند. خوشبختانه ESA ظرف چند ساعت بعد از این گزارش، دادهها را از دسترس خارج کرد. با این حال، مشخص نیست که کسی به اطلاعات دسترسی پیدا کرده است یا خیر.
منبع:https://latesthackingnews.com
🦁«کتاس»
http://t.me/ict_security
امکان ورود کاربران اندروید به سرویسهای گوگل تنها با استفاده از اثر انگشت
اگر از کروم در اندروید استفاده میکنید، میتوانید به جای اینکه هر بار رمز خود را وارد کنید، به سادگی با استفاده از اثر انگشت وارد حساب گوگل خود و برخی دیگر از سرویسهای گوگل شوید. گوگل، ویژگی جدیدی به نام "تأیید کاربر محلی" را در اختیار گذاشته است که به شما این امکان را میدهد تا با ثبت اثر انگشت خود یا هر روش دیگری از جمله پین، الگو یا پسورد که برای باز کردن قفل دستگاه اندروید خود به کار گرفتهاید، وارد برنامههای بومی و سرویسهای وب شوید. این مکانیزم جدید، که با عنوان "تأیید کنید که خودتان هستید" نمایان میشود از ویژگی کلید امنیتی تایید شده Android"s built-in FIDO۲ استفاده میکند که گوگل در اوایل سال جاری برای همه دستگاههایی که نسخه ۷.۰ (Nougat) اندروید یا نسخههای بعد از آن را اجرا میکردند، نصب کرده است.
به گزارش کتاس، علاوه بر پروتکلFIDO۲ ، این ویژگی همچنین به (W۳C WebAuthn (Web Authentication API و (FIDO Client to Authenticator Protocol (CTAP متکی است که این موارد به منظور ارائه مکانیسم احراز هویت سادهتر و ایمنتر طراحی شدهاند و سایتها میتوانند برای لاگینهای امن مبتنی بر وب از آن استفاده کنند. لازم به ذکر است که اثر انگشت شما هرگز به سرورهای گوگل ارسال نمیشود. در عوض، این طرح فقط با به اشتراک گذاشتن اثبات رمزنگاری که شما به درستی با استفاده از اعتبار FIDO ثبت شده آن را تایید کردهاید، کار میکند. در حال حاضر، گوگل این قابلیت را به "passwords.google.com" که یک پلتفرم آنلاینی است که به شما امکان مشاهده و ویرایش رمزهای عبور ذخیره شدهتان را میدهد اضافه کرده است. کاربران اندروید نسخه ۷.۰ (Nougat) یا بالاتر، در صورت فعال بودن قفل صفحهشان و اضافه کردن حساب گوگل به دستگاههای خود، میتوانند آن را راهاندازی کنند. گوگل در تلاش است تا در آینده نزدیک این قابلیت را در سرویسهای دیگر گوگل و گوگل کلاود اضافه کند. این ویژگی برای افرادی که از اقدامات امنیتی اصلی در ایجاد رمزهای عبور قوی و منحصر به فرد برای هر وبسایت پیروی میکنند اما در به خاطر سپردن آنها با مشکل روبرو میشوند مفید است. علاوه بر این، به شما توصیه میشود که تأییدهای دو مرحلهای، از جمله Titan Security Keys و built-in security key گوشی اندروید را برای حسابهای آنلاین خود فعال کنید که حتی در صورت به سرقت رفتن رمز عبور شما، از دسترسی هکرها به حسابهای شما جلوگیری کند. گوگل قبلاً این ویژگی جدید را برای برخی از گوشیهای اندرویدی شروع کرده است و به زودی این امکان را برای همه گوشیهای هوشمند اندروید که سیستم عامل اندروید نسخه ۷ یا بالاتر را اجرا میکنند، فراهم میکند.
منبع:https://thehackernews.com
🦁«کتاس»
http://t.me/ict_security
اگر از کروم در اندروید استفاده میکنید، میتوانید به جای اینکه هر بار رمز خود را وارد کنید، به سادگی با استفاده از اثر انگشت وارد حساب گوگل خود و برخی دیگر از سرویسهای گوگل شوید. گوگل، ویژگی جدیدی به نام "تأیید کاربر محلی" را در اختیار گذاشته است که به شما این امکان را میدهد تا با ثبت اثر انگشت خود یا هر روش دیگری از جمله پین، الگو یا پسورد که برای باز کردن قفل دستگاه اندروید خود به کار گرفتهاید، وارد برنامههای بومی و سرویسهای وب شوید. این مکانیزم جدید، که با عنوان "تأیید کنید که خودتان هستید" نمایان میشود از ویژگی کلید امنیتی تایید شده Android"s built-in FIDO۲ استفاده میکند که گوگل در اوایل سال جاری برای همه دستگاههایی که نسخه ۷.۰ (Nougat) اندروید یا نسخههای بعد از آن را اجرا میکردند، نصب کرده است.
به گزارش کتاس، علاوه بر پروتکلFIDO۲ ، این ویژگی همچنین به (W۳C WebAuthn (Web Authentication API و (FIDO Client to Authenticator Protocol (CTAP متکی است که این موارد به منظور ارائه مکانیسم احراز هویت سادهتر و ایمنتر طراحی شدهاند و سایتها میتوانند برای لاگینهای امن مبتنی بر وب از آن استفاده کنند. لازم به ذکر است که اثر انگشت شما هرگز به سرورهای گوگل ارسال نمیشود. در عوض، این طرح فقط با به اشتراک گذاشتن اثبات رمزنگاری که شما به درستی با استفاده از اعتبار FIDO ثبت شده آن را تایید کردهاید، کار میکند. در حال حاضر، گوگل این قابلیت را به "passwords.google.com" که یک پلتفرم آنلاینی است که به شما امکان مشاهده و ویرایش رمزهای عبور ذخیره شدهتان را میدهد اضافه کرده است. کاربران اندروید نسخه ۷.۰ (Nougat) یا بالاتر، در صورت فعال بودن قفل صفحهشان و اضافه کردن حساب گوگل به دستگاههای خود، میتوانند آن را راهاندازی کنند. گوگل در تلاش است تا در آینده نزدیک این قابلیت را در سرویسهای دیگر گوگل و گوگل کلاود اضافه کند. این ویژگی برای افرادی که از اقدامات امنیتی اصلی در ایجاد رمزهای عبور قوی و منحصر به فرد برای هر وبسایت پیروی میکنند اما در به خاطر سپردن آنها با مشکل روبرو میشوند مفید است. علاوه بر این، به شما توصیه میشود که تأییدهای دو مرحلهای، از جمله Titan Security Keys و built-in security key گوشی اندروید را برای حسابهای آنلاین خود فعال کنید که حتی در صورت به سرقت رفتن رمز عبور شما، از دسترسی هکرها به حسابهای شما جلوگیری کند. گوگل قبلاً این ویژگی جدید را برای برخی از گوشیهای اندرویدی شروع کرده است و به زودی این امکان را برای همه گوشیهای هوشمند اندروید که سیستم عامل اندروید نسخه ۷ یا بالاتر را اجرا میکنند، فراهم میکند.
منبع:https://thehackernews.com
🦁«کتاس»
http://t.me/ict_security
الْحَمْدُ لِلَّهِ الَّذِي جَعَلَنَا مِنَ الْمُتَمَسِّكِينَ بِوِلايَةِ أَمِيرِ الْمُؤْمِنِينَ وَ الْأَئِمَّةِ عَلَيْهِمُ السَّلامُ
الْحَمْدُ لِلَّهِ الَّذِي أَكْرَمَنَا بِهَذَا الْيَوْمِ وَ جَعَلَنَا مِنَ الْمُوفِينَ بِعَهْدِهِ إِلَيْنَا وَ مِيثَاقِهِ الَّذِي وَاثَقَنَا بِهِ مِنْ وِلايَةِ وُلاةِ أَمْرِهِ وَ الْقُوَّامِ بِقِسْطِهِ وَ لَمْ يَجْعَلْنَا مِنَ الْجَاحِدِينَ وَ الْمُكَذِّبِينَ بِيَوْمِ الدِّينِ
عید غدیر،عید الله اکبر،عید آل محمد علیهم السلام، زیبا ترین روز خدا، روز
اکرام بشریت به کامل شدن دین ونزول تمام نعمت خدا، برکاملترین انسان زمانمان حضرت ولی عصر(عج) و بر تمام عاشقان و رهروان کوی دوست مبارک باد.
الْحَمْدُ لِلَّهِ الَّذِي أَكْرَمَنَا بِهَذَا الْيَوْمِ وَ جَعَلَنَا مِنَ الْمُوفِينَ بِعَهْدِهِ إِلَيْنَا وَ مِيثَاقِهِ الَّذِي وَاثَقَنَا بِهِ مِنْ وِلايَةِ وُلاةِ أَمْرِهِ وَ الْقُوَّامِ بِقِسْطِهِ وَ لَمْ يَجْعَلْنَا مِنَ الْجَاحِدِينَ وَ الْمُكَذِّبِينَ بِيَوْمِ الدِّينِ
عید غدیر،عید الله اکبر،عید آل محمد علیهم السلام، زیبا ترین روز خدا، روز
اکرام بشریت به کامل شدن دین ونزول تمام نعمت خدا، برکاملترین انسان زمانمان حضرت ولی عصر(عج) و بر تمام عاشقان و رهروان کوی دوست مبارک باد.
This media is not supported in your browser
VIEW IN TELEGRAM
اینا یه پله گرفتن دستشون و بدون چک شدن وارد ساختمانها میشن. هک در دنیای فیزیکی. :))
#مهندسی_اجتماعی
🦁«کتاس»
http://t.me/ict_security
#مهندسی_اجتماعی
🦁«کتاس»
http://t.me/ict_security
Forwarded from IACS (Pedram Kiani)
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Siemens SINAMICS
1. خلاصه:
☣️ CVSS v3 7.5
☣️ توجه: قابل بهره برداری از راه دور و با مهارت پایین
☣️ فروشندگان: زیمنس
☣️ تجهیزات: SINAMICS
☣️ آسیب پذیری: مصرف منابع کنترل نشده
۲- ارزیابی خطر سوء استفاده موفقیت آمیز از این آسیب پذیری می تواند یک شرایط انکار سرویس را ایجاد کند.
💡 برای کسب اطلاعات تکمیلی و راهکارهای کاهش آسیب پذیری به آدرس زیر مراجعه کنید:
http://ics-cert.ir/?p=196
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
http://ics-cert.ir
1. خلاصه:
☣️ CVSS v3 7.5
☣️ توجه: قابل بهره برداری از راه دور و با مهارت پایین
☣️ فروشندگان: زیمنس
☣️ تجهیزات: SINAMICS
☣️ آسیب پذیری: مصرف منابع کنترل نشده
۲- ارزیابی خطر سوء استفاده موفقیت آمیز از این آسیب پذیری می تواند یک شرایط انکار سرویس را ایجاد کند.
💡 برای کسب اطلاعات تکمیلی و راهکارهای کاهش آسیب پذیری به آدرس زیر مراجعه کنید:
http://ics-cert.ir/?p=196
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
http://ics-cert.ir
Why threat detection may not be enough
شناسایی تهدید فقط کارساز نیست!!
🦁«کتاس»
http://t.me/ict_security
شناسایی تهدید فقط کارساز نیست!!
🦁«کتاس»
http://t.me/ict_security
انتشار به روزرسانی امنیتی برای کرنل لینوکس دبیان
کتاس توصیه میکند در اسرع وقت این به روز رسانی را انجام دهید
منبع:
https://t.me/linux_news/594
🦁«کتاس»
http://t.me/ict_security
کتاس توصیه میکند در اسرع وقت این به روز رسانی را انجام دهید
منبع:
https://t.me/linux_news/594
🦁«کتاس»
http://t.me/ict_security
Telegram
Linux news
The Debian Project released a new Linux kernel security update for its stable, supported distributions to address several vulnerabilities that may put users' computers at risk.
Users must update their systems immediately
https://lists.debian.org/debian…
Users must update their systems immediately
https://lists.debian.org/debian…
معرفی مرورگرهای امن:
Web browser that respect your privacy
vivaldibrowser
torproject
firefox
brave
🦁«کتاس»
http://t.me/ict_security
Web browser that respect your privacy
vivaldibrowser
torproject
firefox
brave
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
انحراف چشم بر اثر استفاده بیش از حد از گوشی هوشمند
یک کودک 9 ساله چینی بدلیل وابستگی شدید به گوشی هوشمند و استفاده بیش از حد از آن دچار انحراف شدید چشم شد.
به گزارش Asia One، در طول تعطیلات تابستانی، پسر بچه از تلفن هوشمند خود فاصله نمی گرفت، و روزانه ده ساعت را صرف بازی کردن با آن می کرد. به گفته والدین این پسر 9 ساله، او تلفن را برمی داشت و به محض اینکه والدین رویشان را برمی گرداند با آن فرار و اقدام به بازی کردن می کرد. در نتیجه، او در مدت زمان کوتاهی مبتلا به انحراف چشم شدید شد.
به گفته چشم پزشک وی، مشکلات بینایی می تواند در اثر استفاده بیش از حد از تلفن ایجاد شود و توصیه کرد مدت زمان جلوی صفحه را برای چند ماه محدود کنید. در صورت عدم بهبود، نیاز به عمل جراحی خواهد بود.
🦁«کتاس»
http://t.me/ict_security
یک کودک 9 ساله چینی بدلیل وابستگی شدید به گوشی هوشمند و استفاده بیش از حد از آن دچار انحراف شدید چشم شد.
به گزارش Asia One، در طول تعطیلات تابستانی، پسر بچه از تلفن هوشمند خود فاصله نمی گرفت، و روزانه ده ساعت را صرف بازی کردن با آن می کرد. به گفته والدین این پسر 9 ساله، او تلفن را برمی داشت و به محض اینکه والدین رویشان را برمی گرداند با آن فرار و اقدام به بازی کردن می کرد. در نتیجه، او در مدت زمان کوتاهی مبتلا به انحراف چشم شدید شد.
به گفته چشم پزشک وی، مشکلات بینایی می تواند در اثر استفاده بیش از حد از تلفن ایجاد شود و توصیه کرد مدت زمان جلوی صفحه را برای چند ماه محدود کنید. در صورت عدم بهبود، نیاز به عمل جراحی خواهد بود.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
آیا میدانستید
امواج صوتی ناشی از تایپ کردن با صفحه کلید نیز می تواند به هکرها امکان دهد تا گوشی های کاربران را هک کرده و اطلاعات آنها را سرقت کنند.
🦁«کتاس»
http://t.me/ict_security
امواج صوتی ناشی از تایپ کردن با صفحه کلید نیز می تواند به هکرها امکان دهد تا گوشی های کاربران را هک کرده و اطلاعات آنها را سرقت کنند.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
Forwarded from IACS (Pedram Kiani)
🚨 کشف آسیب پذیری در چاپگرهای صنعتی Zebra
1- خلاصه
☣️ CVSS v3 5.3
☣️ توجه: سطح مهارت کم برای بهره برداری
☣️ فروشندگان: Zebra
☣️ تجهیزات: Zebra Industrial Printers
☣️ آسیب پذیری: Insufficiently Protected Credentials2
۲٫ ارزیابی خطر
سوءاستفاده موفقیت آمیز از این آسیب پذیری می تواند به یک مهاجم از راه دور اجازه دهد بسته های مخصوص ساخت را به درگاه روی چاپگر بفرستد و در نتیجه بازیابی رمز عبور کنترل پنل جلوی آن انجام شود.
💡 برای کسب اطلاعات تکمیلی و راهکارهای کاهش آسیب پذیری به آدرس زیر مراجعه کنید:
http://ics-cert.ir/?p=200
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
http://ics-cert.ir
لینک عضویت در کانال:
https://t.me/joinchat/AAAAAExhyXQKX2sfVj5rzw
1- خلاصه
☣️ CVSS v3 5.3
☣️ توجه: سطح مهارت کم برای بهره برداری
☣️ فروشندگان: Zebra
☣️ تجهیزات: Zebra Industrial Printers
☣️ آسیب پذیری: Insufficiently Protected Credentials2
۲٫ ارزیابی خطر
سوءاستفاده موفقیت آمیز از این آسیب پذیری می تواند به یک مهاجم از راه دور اجازه دهد بسته های مخصوص ساخت را به درگاه روی چاپگر بفرستد و در نتیجه بازیابی رمز عبور کنترل پنل جلوی آن انجام شود.
💡 برای کسب اطلاعات تکمیلی و راهکارهای کاهش آسیب پذیری به آدرس زیر مراجعه کنید:
http://ics-cert.ir/?p=200
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
http://ics-cert.ir
لینک عضویت در کانال:
https://t.me/joinchat/AAAAAExhyXQKX2sfVj5rzw
Forwarded from IACS (Pedram Kiani)
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Siemens SCALANCE Products
1- خلاصه
☣️ CVSS v3 6.6
☣️ توجه: قابل بهره برداری از راه دور و با مهارت پایین
☣️ فروشندگان: زیمنس
☣️ تجهیزات: سوئیچ های اسکالانس Siemens SCALANCE Products
☣️ آسیب پذیری: پیروی نادرست از استانداردهای برنامه نویس
2- ارزیابی خطر
سوء استفاده موفقیت آمیز از این آسیب پذیری ها می تواند منجر به انکار سرویس شود یا می تواند به یک کاربر محلی معتبر با دسترسی فیزیکی به دستگاه اجازه دهد دستورات دلخواه خود را بر روی دستگاه اجرا کند.
💡 برای کسب اطلاعات تکمیلی و راهکارهای کاهش آسیب پذیری به آدرس زیر مراجعه کنید:
http://ics-cert.ir/?p=206
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
لینک عضویت در کانال:
https://t.me/joinchat/AAAAAExhyXQKX2sfVj5rzw
1- خلاصه
☣️ CVSS v3 6.6
☣️ توجه: قابل بهره برداری از راه دور و با مهارت پایین
☣️ فروشندگان: زیمنس
☣️ تجهیزات: سوئیچ های اسکالانس Siemens SCALANCE Products
☣️ آسیب پذیری: پیروی نادرست از استانداردهای برنامه نویس
2- ارزیابی خطر
سوء استفاده موفقیت آمیز از این آسیب پذیری ها می تواند منجر به انکار سرویس شود یا می تواند به یک کاربر محلی معتبر با دسترسی فیزیکی به دستگاه اجازه دهد دستورات دلخواه خود را بر روی دستگاه اجرا کند.
💡 برای کسب اطلاعات تکمیلی و راهکارهای کاهش آسیب پذیری به آدرس زیر مراجعه کنید:
http://ics-cert.ir/?p=206
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
لینک عضویت در کانال:
https://t.me/joinchat/AAAAAExhyXQKX2sfVj5rzw
🔴 نخستین جُرم سایبری در فضا اتفاق افتاد
فضانورد ناسا متهم به ارتکاب نخستین جرم در فضا شد و در حال حاضر مقامات در حال تحقیق درباره این ادعای جرمی که در فضا انجام شده، هستند.
به نظر میرسد مک کلاین، فضانورد ناسا از ایستگاه فضایی بینالمللی به حساب همسر سابق خود دسترسی پیدا کرده و آن را بررسی کرده است.
مک کلین ضمن اذعان به کنترل این حساب بانکی از فضا، انجام هر گونه تخلف در این زمینه را رد و تاکید کرده که هدفش از این کار اطمینان از اوضاع مالی خانواده بوده است.
«روستی هاردین» وکیل مدافع این فضانورد به نیویورک تایمز گفت: موکلش انجام هر گونه اقدام ناشایستی را به شدت رد میکند.
طبق قوانین ناسا، فضانوردانی که مرتکب جرم در فضا میشوند باید مطابق به قوانین کشورشان جرم که انجام داده اند پاسخگو باشند.
🦁«کتاس»
http://t.me/ict_security
فضانورد ناسا متهم به ارتکاب نخستین جرم در فضا شد و در حال حاضر مقامات در حال تحقیق درباره این ادعای جرمی که در فضا انجام شده، هستند.
به نظر میرسد مک کلاین، فضانورد ناسا از ایستگاه فضایی بینالمللی به حساب همسر سابق خود دسترسی پیدا کرده و آن را بررسی کرده است.
مک کلین ضمن اذعان به کنترل این حساب بانکی از فضا، انجام هر گونه تخلف در این زمینه را رد و تاکید کرده که هدفش از این کار اطمینان از اوضاع مالی خانواده بوده است.
«روستی هاردین» وکیل مدافع این فضانورد به نیویورک تایمز گفت: موکلش انجام هر گونه اقدام ناشایستی را به شدت رد میکند.
طبق قوانین ناسا، فضانوردانی که مرتکب جرم در فضا میشوند باید مطابق به قوانین کشورشان جرم که انجام داده اند پاسخگو باشند.
🦁«کتاس»
http://t.me/ict_security
امکان افشای شماره تلفن کاربران تلگرام!
خلاصه: با اینکه کاربران برای عضویت در پیامرسان تلگرام از شماره تلفن خود استفاده میکنند، این شماره تلفن برای همه قابل مشاهده نیست و میتواند حریم خصوصی کاربران را حفظ نماید. اکنون کارشناسان راهی برای کشف شماره کاربران یافتهاند که ممکن است حریم خصوصی آنها را تهدید نماید.
معترضان هنگکنگی نگران هستند که با استفاده از یکی از ویژگیهای تلگرام، هویت آنها افشا شود.
پیامهای به اشتراک گذاشته شده در تالار گفتوگو باعث ایجاد نگرانی در بین معترضین نسبت به این وضعیت شده است.
مهندسان نرمافزار در هنگکنگ به تازگی هشدارهایی دادهاند. این هشدارها در مورد استفاده از تلگرام به جهت هماهنگی اعتراضات است که به دلیل بروز یک مشکل در این برنامه پیامرسان میباشد.
آنها میگویند که این مسئله کشف شده میتواند به عوامل تهدید کننده معترضان، مانند مجریان قانون یا سرویس های اطلاعاتی چینی، اجازه دهد که شماره تلفنهای مورد استفاده برای ثبت یک حساب تلگرام را بدست آورند. لذا افرادی که به اطلاعات یافت شده دسترسی دارند میتوانند هویت معترضین واقعی را پیدا کنند.
تلگرام به دلیل پشتیبانی از ارتباطات رمزگذاری شده ناشناس، بین مردم رایج شده است و به یک پیامرسان محبوب بدل گشته است. ویژگیهای موجود در چت گروهی این پیامرسان، به محبوبیت این پیام رسان افزوده است. از سوی دیگر همین ویژگیها باعث شده تا در سازماندهی حرکتهای دسته جمعی میان همه شرکتکنندگان کمک کننده باشد.
پیامرسانهایی مانند تلگرام به کاربران خود این امکان را میدهد که تنها با استفاده از شماره تلفن خود و نه چیز دیگر یک حساب کاربری ثبت کنند. برای حفظ ناشناس بودن خود، کاربران میتوانند از یک نام مستعار برای پوشاندن هویت خود استفاده کنند. همچنین میتوانند با تغییر تنظیمات بخش حریم خصوصی برنامه، شماره تلفن خود را از دیگران پنهان کنند. اما یک مشکلی وجود دارد که به سوءاستفادهکنندگان این امکان را میدهد تا حتی اگر کاربری تنظیمات فوق را اعمال کرده باشد، هویت واقعی فرد با استفاده از شماره تلفن آن فاش شود.
طبق گزارشها، یک مهاجم میتواند دهها هزار شماره تلفن متوالی را به مجموعه آدرس تلفن اضافه کند. سپس مهاجم به یک گروه تلگرامی ملحق میشود و مخاطبین خود را با برنامه تلگرام همگام میکند.
در این مرحله، برنامه تلگرام به مهاجمان میگوید کدامیک از شمارههای تلفن پیدرپی، دارای یک حساب کاربری در آن گروهی که فعالیت میکنند عضو هستند!
از طرفی در ادامه این اطلاعات افشا شده، یک آژانس اجرای قانون ایالتی یا سرویس اطلاعاتی میتواند از راه دور سامانه تلفنهای همراه محلی را وادار کند تا نام افراد موجود در پشت این شماره تلفنها را فاش کنند. در اعتراضات اخیر هنگکنگ، مقامات چینی میتوانند لیستی از افرادی را که طی این اعتراضات از طریق تلگرام هماهنگ شده بودند، تهیه نمایند.
بعد از اینکه جزئیات مربوط به این اشکال به اشتراک گذاشته شد، این اشکال به تازگی توسط چندین مهندس نرم افزار هنگکنگی در یک گروه تلگرامی بسیار محبوب برای ساکنان هنگکنگ، به طور مستقل تأیید شد.
یکی از مهندسان نرمافزار که به صورت مستقل این اشکال را تأیید کرده بودند، اظهار کردند: «حریم خصوصی شماره تلفن تلگرام از اوایل سال جاری همیشه مورد توجه بوده است. ما میدانستیم که با توجه به ساختار قسمت «مخاطبین من» این امکان وجود دارد که مخاطبین شما، شماره شما را ببینند، بنابراین همیشه از مردم خواسته میشد تا تنظیمات مربوط به این قسمت را به «هیچ کس» تغییر دهند تا شماره تلفن در گروههای عمومی پنهان باشد.
در اعراضات اخیر هنگکنگ، گمان میرود که برخی از مهاجمین تحت حمایت دولت چین از این اشکال استفادهکرده و از آن برای هدف قرار دادن معترضین هنگکنگی استفاده کردهاند.البته در بعضی موارد خطراتی فوری و جدی برای زندگی کاربران/معترضین به وجود آمدهاست.
سخنگوی تلگرام در واکنش به این آسیبپذیری گفت: «ما برای جلوگیری از وارد کردن بیش از حد مخاطبین، اقداماتی حفاظتی را در نظر گرفتهایم.»
برخلاف پیامرسانهایی مثل واتساپ که شماره تلفن هر حساب در آنها فاش است، در تلگرام این امکان وجود دارد که شماره تلفن در برابر سایرین در وهله اول مصون باشد.
همچنین تلگرام به کاربران هشدار داده است که تنظیمات «هیچ کس» در واقع آنگونه که فکر میکنند کار نمیکند. این سوء تفاهم در مورد تنظیم حریم خصوصی شماره تلفن، بسیاری از کاربران را به وحشت انداخته است.
منبع:آپا
🦁«کتاس»
http://t.me/ict_security
خلاصه: با اینکه کاربران برای عضویت در پیامرسان تلگرام از شماره تلفن خود استفاده میکنند، این شماره تلفن برای همه قابل مشاهده نیست و میتواند حریم خصوصی کاربران را حفظ نماید. اکنون کارشناسان راهی برای کشف شماره کاربران یافتهاند که ممکن است حریم خصوصی آنها را تهدید نماید.
معترضان هنگکنگی نگران هستند که با استفاده از یکی از ویژگیهای تلگرام، هویت آنها افشا شود.
پیامهای به اشتراک گذاشته شده در تالار گفتوگو باعث ایجاد نگرانی در بین معترضین نسبت به این وضعیت شده است.
مهندسان نرمافزار در هنگکنگ به تازگی هشدارهایی دادهاند. این هشدارها در مورد استفاده از تلگرام به جهت هماهنگی اعتراضات است که به دلیل بروز یک مشکل در این برنامه پیامرسان میباشد.
آنها میگویند که این مسئله کشف شده میتواند به عوامل تهدید کننده معترضان، مانند مجریان قانون یا سرویس های اطلاعاتی چینی، اجازه دهد که شماره تلفنهای مورد استفاده برای ثبت یک حساب تلگرام را بدست آورند. لذا افرادی که به اطلاعات یافت شده دسترسی دارند میتوانند هویت معترضین واقعی را پیدا کنند.
تلگرام به دلیل پشتیبانی از ارتباطات رمزگذاری شده ناشناس، بین مردم رایج شده است و به یک پیامرسان محبوب بدل گشته است. ویژگیهای موجود در چت گروهی این پیامرسان، به محبوبیت این پیام رسان افزوده است. از سوی دیگر همین ویژگیها باعث شده تا در سازماندهی حرکتهای دسته جمعی میان همه شرکتکنندگان کمک کننده باشد.
پیامرسانهایی مانند تلگرام به کاربران خود این امکان را میدهد که تنها با استفاده از شماره تلفن خود و نه چیز دیگر یک حساب کاربری ثبت کنند. برای حفظ ناشناس بودن خود، کاربران میتوانند از یک نام مستعار برای پوشاندن هویت خود استفاده کنند. همچنین میتوانند با تغییر تنظیمات بخش حریم خصوصی برنامه، شماره تلفن خود را از دیگران پنهان کنند. اما یک مشکلی وجود دارد که به سوءاستفادهکنندگان این امکان را میدهد تا حتی اگر کاربری تنظیمات فوق را اعمال کرده باشد، هویت واقعی فرد با استفاده از شماره تلفن آن فاش شود.
طبق گزارشها، یک مهاجم میتواند دهها هزار شماره تلفن متوالی را به مجموعه آدرس تلفن اضافه کند. سپس مهاجم به یک گروه تلگرامی ملحق میشود و مخاطبین خود را با برنامه تلگرام همگام میکند.
در این مرحله، برنامه تلگرام به مهاجمان میگوید کدامیک از شمارههای تلفن پیدرپی، دارای یک حساب کاربری در آن گروهی که فعالیت میکنند عضو هستند!
از طرفی در ادامه این اطلاعات افشا شده، یک آژانس اجرای قانون ایالتی یا سرویس اطلاعاتی میتواند از راه دور سامانه تلفنهای همراه محلی را وادار کند تا نام افراد موجود در پشت این شماره تلفنها را فاش کنند. در اعتراضات اخیر هنگکنگ، مقامات چینی میتوانند لیستی از افرادی را که طی این اعتراضات از طریق تلگرام هماهنگ شده بودند، تهیه نمایند.
بعد از اینکه جزئیات مربوط به این اشکال به اشتراک گذاشته شد، این اشکال به تازگی توسط چندین مهندس نرم افزار هنگکنگی در یک گروه تلگرامی بسیار محبوب برای ساکنان هنگکنگ، به طور مستقل تأیید شد.
یکی از مهندسان نرمافزار که به صورت مستقل این اشکال را تأیید کرده بودند، اظهار کردند: «حریم خصوصی شماره تلفن تلگرام از اوایل سال جاری همیشه مورد توجه بوده است. ما میدانستیم که با توجه به ساختار قسمت «مخاطبین من» این امکان وجود دارد که مخاطبین شما، شماره شما را ببینند، بنابراین همیشه از مردم خواسته میشد تا تنظیمات مربوط به این قسمت را به «هیچ کس» تغییر دهند تا شماره تلفن در گروههای عمومی پنهان باشد.
در اعراضات اخیر هنگکنگ، گمان میرود که برخی از مهاجمین تحت حمایت دولت چین از این اشکال استفادهکرده و از آن برای هدف قرار دادن معترضین هنگکنگی استفاده کردهاند.البته در بعضی موارد خطراتی فوری و جدی برای زندگی کاربران/معترضین به وجود آمدهاست.
سخنگوی تلگرام در واکنش به این آسیبپذیری گفت: «ما برای جلوگیری از وارد کردن بیش از حد مخاطبین، اقداماتی حفاظتی را در نظر گرفتهایم.»
برخلاف پیامرسانهایی مثل واتساپ که شماره تلفن هر حساب در آنها فاش است، در تلگرام این امکان وجود دارد که شماره تلفن در برابر سایرین در وهله اول مصون باشد.
همچنین تلگرام به کاربران هشدار داده است که تنظیمات «هیچ کس» در واقع آنگونه که فکر میکنند کار نمیکند. این سوء تفاهم در مورد تنظیم حریم خصوصی شماره تلفن، بسیاری از کاربران را به وحشت انداخته است.
منبع:آپا
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
#کتاس در رسانه ها:
https://coffeenet-hamid.blog.ir/1397/10/17/%D8%B4%D8%A8%DA%A9%D9%87-%D9%87%D8%A7%DB%8C-%D8%A7%D8%AC%D8%AA%D9%85%D8%A7%D8%B9%DB%8C-%D8%AF%D8%AE%D8%AA%D8%B1%D8%A7%D9%86-%D8%B1%D8%A7-%D8%A8%DB%8C%D8%B4%D8%AA%D8%B1-%D8%A7%D8%B2-%D9%BE%D8%B3%D8%B1%D8%A7%D9%86-%D8%A7%D9%81%D8%B3%D8%B1%D8%AF%D9%87-%D9%85%DB%8C-%DA%A9%D9%86%D8%AF
🦁«کتاس»
http://t.me/ict_security
https://coffeenet-hamid.blog.ir/1397/10/17/%D8%B4%D8%A8%DA%A9%D9%87-%D9%87%D8%A7%DB%8C-%D8%A7%D8%AC%D8%AA%D9%85%D8%A7%D8%B9%DB%8C-%D8%AF%D8%AE%D8%AA%D8%B1%D8%A7%D9%86-%D8%B1%D8%A7-%D8%A8%DB%8C%D8%B4%D8%AA%D8%B1-%D8%A7%D8%B2-%D9%BE%D8%B3%D8%B1%D8%A7%D9%86-%D8%A7%D9%81%D8%B3%D8%B1%D8%AF%D9%87-%D9%85%DB%8C-%DA%A9%D9%86%D8%AF
🦁«کتاس»
http://t.me/ict_security
coffeenet-hamid.blog.ir
شبکههای اجتماعی دختران را بیشتر از پسران افسرده میکند...
نتیجۀ یک تحقیق؛ شبکههای اجتماعی دختران را بیشتر از پسران افسرده میکند بنا بر نتایج تحقیقات جدید، نرخ بالای افسردگی در دختران در مقایسه با پسران، با زمان زیادی که آنها در شبکههای اجتماعی ...
کانال تخصصی امنیت سایبری «کتاس» pinned «امکان افشای شماره تلفن کاربران تلگرام! خلاصه: با اینکه کاربران برای عضویت در پیامرسان تلگرام از شماره تلفن خود استفاده میکنند، این شماره تلفن برای همه قابل مشاهده نیست و میتواند حریم خصوصی کاربران را حفظ نماید. اکنون کارشناسان راهی برای کشف شماره کاربران…»