• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷
29 سپتامبر 2021

یکی از آسیب پذیری ها توسط Citizen Lab و دیگری توسط تیم تجزیه و تحلیل تهدید Google پیدا شد.

اپل برای سه آسیب پذیری در macOS Catalina و iOS 12.5.5 به روزرسانی های امنیتی را منتشر کرد که در حال حاضر در عمل مورد بهره برداری قرار می گیرند.

 CVE-2021-30869 یک آسیب پذیری XNU است که در macOS ، iPhone 5s ، iPhone 6 ، iPhone 6 Plus ، iPad Air ، iPad mini 2 ، iPad mini 3 و iPod touch یافت می شود و به برنامه های مخرب امکان اجرای کد دلخواه با امتیازات هسته را می دهد.

اپل اعلام کرد که گزارشاتی مبنی بر سوءاستفاده از این آسیب پذیری وجود دارد و گفت که “با بهبود وضعیت” ، این مشکل توسط اعضای گروه تجزیه و تحلیل تهدید Google Erye Hernandez و Clément Lecigne و همچنین Ian Beer از Google Project Zero کشف شده است.

CVE-2021-30860 توسط Citizen Lab کشف شد و ممکن است به جاسوس افزار NSO Pegasus متصل باشد که برای نفوذ به دستگاه های اپل استفاده می شد. این آسیب پذیری بر iPhone 5s ، iPhone 6 ، iPhone 6 Plus ، iPad Air ، iPad mini 2 ، iPad mini 3 و iPod )touch   نسل ششم) تأثیر می گذارد.

هنگامی که Citizen Lab امسال گزارش های متعددی را منتشر کرد که نشان می داد چگونه جاسوس افزار NSO Pegasus به برخی از کشورها و بازیگران جنایتکار دسترسی کامل به دستگاه های اپل می دهد ، خشم بزرگی به دنبال داشت. CVE-2021-30860 ، همانطور که Citizen Lab در آخرین گزارش خود توصیف کرده است ، به تهدیدکنندگان می تواند از پردازش یک فایل PDF مخرب برای اجرای کد دلخواه استفاده کند، اجازه دهد.

اپل در این نسخه اعتراف کرد که به طور فعال مورد سوء استفاده قرار گرفته است و گفت که “با بهبود اعتبار ورودی” به آن رسیدگی شده است.

آسیب پذیری سوم-CVE-2021-30858-بر روی دو دستگاه اول تأثیر می گذارد و ناشناس ارسال شده است. اپل توضیح داد که این آسیب پذیری به چگونگی پردازش محتوای وب ایجاد شده به صورت مخرب می تواند منجر به اجرای کد دلخواه شود. اپل نیز مانند بقیه گفت که می داند که ممکن است به طور فعال مورد سوء استفاده قرار گیرد.

اپل گفت که آنها این مشکل را با “بهبود مدیریت حافظه” حل کرده اند.

 

22 سپتامبر 2021

از ماه دسامبر ، Google ” قابلیت بازنشانی خودکار مجوزها” را به دستگاه هایی که از Android 6.0 و بالاتر استفاده می کنند ، گسترش می دهد.

به گزارش گوگل ، تلفن های اندرویدی که از نسخه های قدیمی سیستم عامل استفاده می کنند به زودی دارای ویژگی ای می شوند که مجوز برنامه هایی را که برای مدت طولانی استفاده نشده اند حذف می کند.

“بازنشانی خودکار مجوزها” یک ویژگی حریم خصوصی است که گوگل سال گذشته به اندروید ۱۱ معرفی کرد. هدف آن محافظت از حریم خصوصی کاربران با بازنشانی خودکار مجوزهای زمان اجرای یک برنامه است – در صورتی که برنامه در حال اجرا باشد در صورت نیاز – در صورتی که آن برنامه چند ماه استفاده نشده باشد.

از ماه دسامبر ، Google این ویژگی را به “میلیاردها دستگاه دیگر” می آورد زیرا به طور خودکار در افرادی که دارای سرویس Google Play هستند که Android 6.0  سطح API 23  یا بالاتر را اجرا می کنند فعال است. کاربران قادر خواهند بود به صفحه تنظیمات بازنشانی خودکار دسترسی پیدا کرده و تنظیم مجدد خودکار را برای برنامه های خاص فعال یا غیرفعال کنند. به گفته مقامات اندروید ، سیستم چند هفته پس از راه اندازی این ویژگی بر روی دستگاه ، به طور خودکار مجوز برنامه های بلااستفاده را بازنشانی می کند.

آنها توجه دارند که برخی از برنامه ها و مجوزها به طور خودکار از ابطال معاف هستند. اینها شامل برنامه های فعال دستگاه مدیر مورد استفاده توسط شرکت ها ، و همچنین مجوزهای تعیین شده توسط خط مشی شرکت است.

11 جولای 2021

گوگل می‌گوید که دستیار صوتی‌اش برخی مواقع، صدای محیط را مخفیانه و بدون فعال‌سازی کاربر ضبط می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گوگل گفته است که دستیار صوتی‌اش صدای کاربران را ضبط می‌کند؛ حتی اگر با عبارت کلیدی Ok Google فعال نشده باشد.ظاهرا نمایندگان گوگل به یکی از اعضای هیئت‌دولت هند گفته‌اند کارمندان این شرکت به مکالمات ضبط‌شده بین کاربران و دستیار صوتی گوش می‌دهند. این واقعیتی است که گوگل پیش‌تر آن را پذیرفته بود؛ اما منابع جدید مطلب دیگری نیز فاش کرده‌اند که امنیت کاربران را بیشتر از همیشه تهدید می‌کند.

گفته می‌شود اهالی مانتین‌ویو اعتراف کرده‌اند دستیار هوش مصنوعی‌شان حتی در مواقعی که کاربر آن را فعال نمی‌کند، از‌طریق گوشی یا اسپیکر هوشمند صدای اطراف را ضبط می‌کند. پیش‌تر، گوگل ادعا کرده بود کارمندانش برای بهبود فناوری تشخیص گفتار زبان‌های مختلف، به مکالمه ضبط‌شده میان کاربران و دستیار صوتی هوشمندشان گوش می‌دهند. به‌گفته این شرکت، تنها بخشی از صدای ضبط‌شده برای کارمندان دردسترس بود و آن‌ها به مکالمات حساس گوش نمی‌دهند.

با‌این‌حال، هیچ اطلاعاتی درباره چگونگی تمایز بین مکالمات حساس و عمومی وجود ندارد و مشخص نیست گوگل چگونه این کار را انجام می‌دهد. همچنین، سال ۲۰۱۹ یکی از بازرسان گوگل که وظیفه بررسی فایل‌ها را برعهده داشت، اطلاعات صوتی محرمانه‌ای را به یکی از رسانه‌های خبری بلژیکی ارسال کرده بود.

علاوه‌براین، هنوز گوگل درباره این موضوع توضیح نداده است که چرا دستیار صوتی حتی زمانی که کاربر فعالش نکرده، ضبط صدا را شروع می‌کند. می‌دانیم دستیاران دیجیتال مانند الکسای آمازون، همیشه در حال گوش‌دادن هستند تا زمانی فعال شوند که کاربر عبارت مشخص‌شده را بر زبان می‌آورد؛ اما هنوز دلیل این مشخص نیست که چرا باید صدای محیط ضبط شوند. امیدواریم گوگل به‌زودی درباره این مسئله توضیحات کافی ارائه دهد.

در سیاست حفظ حریم خصوصی گوگل آمده است: گاهی اوقات‌، حتی اگر کاربر قصد نداشته باشد از آن استفاده کند، دستیار صوتی فعال می‌شود؛ زیرا به‌اشتباه عبارتی را شنیده که به دستور صوتی فعال‌سازی شبیه بوده (مانند صدایی که شبیه عبارت Hey Google به‌نظر می‌رسد) و گمان کرده است به کمک نیاز دارید. اگر چنین اتفاقی برایتان رخ داد، کافی است دستیار صوتی‌تان را مطلع کنید که با آن صحبت نکرده‌اید. این کار باعث می‌شود آخرین چیزی ارسال‌شده به گوگل حذف شود.

در سیاست‌ حفظ حریم خصوصی گوگل، چیزی درباره این موضوع ذکر نشده است که دستیار صوتی بدون هیچ خطایی شروع به ضبط می‌کند. هنوز مشخص نیست گوگل به ضبط‌های تصادفی اشاره کرده یا دستیار صوتی‌اش حتی هنگام فعال‌نشدن تصادفی صدا ضبط می‌کند. اگر گزینه دوم درست باشد، مشکلات امنیتی زیادی سر راه کاربران این شرکت قرار دارد.

یکی از اعضای هیئت‌دولت هند درباره این موضوع گفت: گوگل در بخش «شرایط و ضوابط» خود به‌وضوح اظهار می‌کند که مکالمات صوتی میان کاربران و اسپیکرهای هوشمند و دستگاه‌‌هایی ضبط و ذخیره می‌شود که از دستیار صوتی استفاده می‌کنند. بااین‌حال، این اصطلاحات به این موضوع اشاره‌ای نمی‌کنند که کارمندان آن می‌توانند قسمتی از این مکالمات را گوش دهند. همچنین، گوگل در سیاست حفظ حریم خصوصی‌اش می‌گوید اطلاعات شخصی را فقط درصورت رضایت کاربران در خارج از شرکتش به اشتراک می‌گذارد. این مسئله نقض جدی حریم خصوصی کاربران محسوب می‌شود.

یکی دیگر از مقام‌های ارشد وزارت الکترونیک و فناوری اطلاعات هند گفت: دولت در حال بررسی موضوع مربوط به شركت‌هایی مانند گوگل است که داده‌های ذخیره‌شده را حذف نمی‌كنند و نسخه‌ها را تا زمانی نگه می‌دارند كه کاربری به‌صورت دستی آن‌ها را از بین نبرد.

این نکته را به‌یاد بسپارید که مکالمات خود با دستیار صوتی گوگل را در زمان دلخواه می‌توانید حذف کنید. باوجوداین‌، مشخص نیست داده‌هایی که به‌راحتی کاربر می‌تواند حذف کند، شامل داده‌هایی هستند که دستیار صوتی مخفیانه آنها را ضبط کرده است یا خیر.

مرجع : زومیت
29 ژوئن 2021
گوگل به قابلیت جدیدی مجهز شد که به کاربران درباره مطمئن‌نبودن نتایج جست‌وجو هشدار می‌دهد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گوگل قابلیت جدیدی را آزمایش می‌کند که به کاربران درباره مطمئن‌نبودن نتایج جست‌وجو هشدار می‌دهد. قابلیت جدید با هدف فراهم‌کردن قرائن بیشتر درباره اخبار فوری به کاربران جست‌وجو طراحی شده است.

دنی سالیوان، رابط موتور جست‌وجوی گوگل گفت: هنگامی که کاربری در گوگل جست‌وجو می‌کند، تلاش می‌کنیم اطلاعات مرتبط و قابل‌اتکا را نمایش دهیم، اما اطلاعات زیادی وجود دارد که کاملا جدید هستند. کادری در بالای نتایج جست‌وجو به کاربران هشدار خواهد داد. اگر موضوع جدید باشد مدتی زمان خواهد برد تا نتایج از سوی منابع قابل‌اطمینان اضافه شوند.

اگر این قابلیت به‌طور کامل در گوگل عرضه شود، به تلاش‌های اخیر این موتور جست‌وجو برای مطلع کردن کاربران درباره کیفیت نتایج جست‌وجو اضافه می‌شود. این شرکت در فوریه پنل‌های «درباره این جست‌وجو» را معرفی کرد که توضیحی درباره وب‌سایت مذکور را فراهم می‌کند.

15 آوریل 2020

آزمایشگاه سایدواک الفابت در حال آزمایش آیکن‌هایی برای «شفافیت دیجیتالی» است که براساس آن‌ها می‌توان از جمع‌آوری داده‌ها در مکان‌های عمومی آگاه شد.

با گسترش فناوری‌های دیجیتال در شهرها، مشکلاتی مثل آگاهی مردم از حسگرها و دوربین‌ها و دیگر فناوری‌های هوشمند به‌وجود می‌آیند. تعداد کمی از افراد حوصله‌ی خواندن متنی طولانی درباره‌ی حریم خصوصی روی وب‌سایت یا اپلیکیشن تلفن‌همراه را دارند؛ بنابراین، چگونه می‌توان مردم را از جمع‌آوری داده‌ها آگاه کرد؟

آزمایشگاه سایدواک، شرکت خواهر گوگل، به‌دنبال راه‌حل‌هایی برای حل مشکل حریم خصوصی است. این شرکت با پروژه‌ای به‌نام شفافیت دیجیتالی در مکان‌های عمومی در پی طراحی مجموعه‌ای از آیکن‌ها است که در فضاهای عمومی به‌نمایش درمی‌آیند. این آیکن‌ها نشان می‌دهند چه نوعی از داده‌ها و در کجا جمع‌آوری می‌شوند. علامت‌ها بخشی از پروژه‌ای پرچم‌دار در تورنتو هستند. هدف این پروژه توسعه‌ی اسلکه‌ی شهری است و علامت‌ها در موقعیت‌های جمع‌آوری داده مثل خیابان‌ها، پارک‌ها، شرکت‌ها و محوطه‌ها قرار می‌گیرند.

جمع‌آوری داده‌ها یکی از اهداف اصلی پروژه‌ی سایدواک تورنتو است و تاکنون بسیار بحث‌برانگیز بوده است. در سال ۲۰۱۷، شرکت Waterfront Toronto سازمان مسئول توسعه‌ی ساحل شرقی شهر، وظیفه‌ی توسعه‌ی ساحل را برعهده‌ی سایدواک گذاشت. این پروژه اهداف بلندپروازانه‌ای دارد. برای مثال تا سال ۲۰۴۰، نزدیک به ۴۴ هزار شغل ایجاد خواهد کرد و می‌تواند با حذف کربن‌دی‌اکسید از جوّ، به بزرگ‌ترین جامعه‌ی مفید اقلیمی تبدیل شود. این پروژه از فناوری جدید شهری مثل سنگ‌فرش‌های پیمانه‌ای و ارسال بار زیرزمینی استفاده خواهد کرد. حسگرها و دوربین‌ها و هات‌اسپات‌های وای‌فای بر جریان ترافیک و دمای ساختمان‌ها و سیگنال‌های عبوری نظارت می‌کنند.

افزایش نظارت دیجیتالی نگرانی‌های حریم خصوصی را هم افزایش می‌دهد؛ به‌همین‌دلیل، سایدواک می‌خواهد این مشکل را با قراردادن علائمی در مکان‌های جمع‌آوری داده تا اندازه‌ای حل کند. علامت‌ها مجموعه‌ای از آیکن‌ها را به‌شکل شش‌ضلعی‌ نشان می‌دهند. این علائم براساس قوانین طراحی گوگل در سال ۲۰۱۴ طراحی شدند. برخی از آن‌ها هدف جمع‌آوری داده‌ها مثل پویایی یا بازدهی انرژی یا مدیریت پسماند را شرح می‌دهند. گروهی دیگر به نوع داده‌های جمع‌آوری‌شده مثل تصاویر یا کیفیت هوا یا صدا اشاره می‌کنند. در‌صورتی‌که داده شناسایی‌شدنی و مرتبط با اشخاص باشد، رنگ شش‌ضلعی زرد است و در‌صورتی‌که اطلاعات مربوط به شناسه‌های فردی نباشد، شش‌ضلعی آبی است.

همچنین آیکنی با QR Code دیده می‌شود که کاربران می‌توانند برای دریافت جزئیات آنلاین مثل نحوه‌ی پردازش و ذخیره‌سازی و دسترسی به داده‌ها از آن استفاده کنند. شش‌ضلعی دیگر به انتقال اطلاعات درباره‌ی موجودیت جمع‌آوری داده‌ها اشاره می‌کند. این علامت در فضای نمایشگاهی آزمایشگاه سایدواک و شعبه‌های آن در تورنتو قرار داده شده است. ژاکلین لو، مدیر یکپارچه‌سازی دیجیتالی آزمایشگاه سایدواک، می‌گوید:

به‌شدت معتقدیم مردم باید از چگونگی و دلیل جمع‌آوری داده‌ها و کاربرد آن‌ها در مکان‌های عمومی مطلع شوند و طراحی و فناوری می‌تواند به شکلی معنادار این درک را متحول کند.

با‌این‌حال به‌اعتقاد مدافعان حریم خصوصی، علامت‌های یادشده چندان تأثیرگذار نیستند. پروژه‌ی Waterfront Toronto به‌دلیل نداشتن شفافیت کلی و طرح‌های نظارت داده‌ای، انتقادات زیادی برانگیخته است. به‌عقیده‌ی منتقدان، این شرکت باید در درجه‌ی اول دلیل جمع‌آوری داده‌ها و هدف آن را توضیح دهد. ایمن فالکنر، رئیس طراحی شهری سازمان Gehl می‌گوید:

تنها به گذاشتن اعلان برای جمع‌آوری داده‌ها بسنده نمی‌کنیم. اگر واقعا به شفافیت و حریم خصوصی دیجیتالی اهمیت می‌دهیم، باید به افراد اجازه دهیم بخشی از این فرایند باشند.

در آزمایش نمونه‌های اولیه، کاربران از پیچیدگی فراوان سیستم آیکنی شکایت می‌کردند. برای مثال، حسگری که داده‌های شناسایی‌شدنی را جمع‌آوری می‌کند، حداقل به چهار آیکن و دو رنگ نیاز دارد. در‌صورتی‌که تنوع داده‌ها بیشتر شود، تعداد آیکن‌ها هم افزایش می‌یابد. پاتریک کنان، یکی از طراحان آزمایشگاه سایدواک می‌گوید:

کاربران می‌گویند این سیستم بسیار پیچیده است و نیازی به دانستن آن نداریم.

کنان می‌گوید هدف این سیستم برآورده‌ساختن تقاضای کارشناسان امنیتی است که معتقدند علامت‌ها باید درباره‌ی چگونگی کاربرد داده‌ها اطلاعات کافی را ارائه کنند. قوانین حریم خصوصی کانادا شرکت‌ها را ملزم کرده است برای جمع‌آوری داده‌های شناسایی‌شدنی از کاربران اجازه بگیرند؛ درنتیجه، این شرکت‌ها باید به کاربران درباره‌ی نوع داده‌ها اطلاع دهند.

ناتاشا توسیکف، استاد دانشگاه یورک و پژوهشگر نظارت داده، معتقد است بازدیدکنندگان به یادگیری نوعی زبان بصری مشابه علائم راهنمایی و رانندگی نیاز دارند. او می‌گوید:

این علامت‌ها باید در نگاه اول و به‌راحتی درک‌کردنی باشند؛ به‌طوری‌که شخصی با دیدن آن‌ها متوجه شود اطلاعات شخصی مثل دمای هوا و سرعت دوچرخه جمع‌آوری نمی‌شوند و جای نگرانی نیست. ما نمادهایی برای بیمارستان‌ها و تاکسی‌ها یا حمل‌و‌نقل عمومی داریم. مردم می‌دانند نماد توالت عمومی چیست؛ اما هنوز درکی از نماد پردازش داده‌ها یا نحوه‌ی جمع‌آوری اطلاعات ندارند.

آزمایشگاه سایدواک برای تلاش به‌منظور متعادل‌سازی نیازهای حریم خصوصی، مرحله‌ی دوم DTPR را آغاز کرده که متمرکز بر توسعه‌ی امکانات پاسخگویی است. این شرکت امیدوار است با نمایش نحوه‌ی استفاده از داده‌ها، اعتماد عمومی را جلب کند. در این روش، می‌توان از نوعی دفتر حساب بلاک‌چین برای دسترسی به داده‌ها یا نقشه‌ای برای نمایش کل داده‌ها استفاده کرد. کنان و لول با هدف افزایش کاربرپسندی سیستم به‌دنبال تغییر علامت‌ها هستند. این پروژه فعلا در مرحله‌ی اولیه است و به تغییرات زیادی نیاز دارد.

اغلب مردم پس از آگاهی از  نحوه‌ی جمع‌آوری داده‌ها ردیابی‌ها را می‌پذیرند

آزمایشگاه سایدواک امیدوار است روش شفافیت دیجیتالی در مکان‌های عمومی در سطح بین‌المللی اجرا شود. این شرکت بسیاری از منابع خود را آنلاین دردسترس دیگران قرار داده و از مردم درخواست کرده است راه‌هایی برای تطبیق بین‌المللی این فناوری ارائه دهند. کارشناسان هم پیشنهاد داده‌اند باید سازمانی بین‌المللی در این زمینه وارد عمل شود. برای مثال، سازمان بین‌المللی استانداردسازی و مهندسی اینترنت می‌تواند به ارتقای استانداردهای اینترنت باز کمک کند.

شهرهای دیگر هم هدف آگاه‌سازی مردم از جمع‌آوری اطلاعات در مکان‌های عمومی را دنبال می‌کنند. بارسلونا روشی چشمگیر برای نظارت بر داده‌ها پیشنهاد داده است. این روش بخشی از پروژه‌ی رمزگشایی اروپایی است که با توسعه‌ی ابزارهایی مثل رمزنگاری و بلاک‌چین به شهروندان اجازه می‌دهند نه‌تنها به چگونگی اشتراک‌گذاری داده‌های شخصی دسترسی پیدا کنند؛ بلکه بتوانند آن را کنترل کنند.

اخیرا، شرکت حمل‌و‌نقل لندن با استفاده از وای‌فای مترو شهری داده‌های رفتاری بی‌نام را جمع‌آوری کرده‌اند. طبق پژوهش‌های این سازمان، اگر مسافران مترو از نحوه‌ی جمع‌آوری داده‌ها آگاه باشند، می‌توانند ردیابی وای‌فای را بپذیرند؛ به‌همین‌دلیل، TfL، شرکت حمل‌و‌نقل لندن، به کاربران اطلاع می‌دهد حرکت آن‌ها در ایستگاه‌ها ردیابی و از این اطلاعات برای بهبود خدمات و اطلاعات مسافر استفاده خواهد شد. لاورن ساجر وینستین، مدیر داده‌ای Tfl می‌گوید:

برای اطمینان از وجوه قانونی این کار، تحقیقات گسترده‌ای انجام دادیم و زمان درخورتوجهی به آن اختصاص دادیم. می‌خواهیم درباره‌ی جمع‌آوری داده‌ها و مفاهیم اخلاقی کاملا شفاف و واضح عمل کنیم.