استفاده از آیفون به عنوان یک کلید امنیتی برای محافظت از حساب گوگل

خبر خوب برای کاربران iOS. از این به بعد از دستگاه های iPad و iPhone که سیستم عامل نسخه ۱۰ به بالا روی آنها نصب است ، می توان به عنوان یک کلید امنیتی فیزیکی برای ورود به حساب کاربری گوگل استفاده کرد.این موضوع بخشی از برنامه محافظت پیشرفته برای اهراز هویت دو مرحله ای است.

کاربران اندروید از سال گذشته این قابلیت را برای دستگاه های هوشمند خود داشتند والان این قابلیت برای کاربران اپل هم فعال شده که محافظت بالایی در برابر فیشینگ دارد.افزودن امنیت بیشتر بعد از اعمال اهراز هویت دو مرحله ای اقدامی بسیار مهم برای محافظت از حساب های کاربری است وکار را برای هکر ها برای دسترسی به حساب بسیار سخت میکند به خصوص وقتی پسورد شما لو رفته باشد.

بر طبق تحقیقات انجام شده توسط گوگل افرادی که برای ورود به حساب های کاربری خود از کلیدهای امنیتی استفاده کرده اند هیچ وقت قربانی حملات فیشینگ نشده اند.

گوگل به تازگی اپلیکیشن Google Smart Lock خود را برای آیفون بروزرسانی کرده که می تواند دستگاه iOS را به یک کلید امنیتی فیزیکی تبدیل کندوبه صورت رمزنگاری شده توکن هایی را برای تایید هویت کاربر تولید کند به جای اینکه کاربر توکن های سری را از یک سری کانال های ارتباطی نا امن  مثل ایمیل و پیام کوتاه دریافت کند.

کلیدهای امنیتی از رمزنگاری public-key برای راستی آزمایی هویت و URL صفحه ورود استفاده می کنند وبه همین دلیل یک هکر نمی تواند حتی با داشتن نام کاربری وگذرواژه به حساب کاربری دسترسی پیدا کند.

اپلیکیشن یاد شده کلیدهای شخصی را در محفظه ای امن در داخل آیفون نگهداری میکند که به داده های بایومتریک مثل اثر انگشت ، face ID و داده های رمزنگاری شده دیگر می پردازد وفقط روی سیستم عامل iOS 10 به بالا در دسترس است.

به منظور استفاده از این قابلیت ابتدا باید برنامه Smart Lock روی آیفون نصب شود سپس با pair کردن دستگاه با کامپیوتر از طریق بلوتوث موبایل به عنوان کلید امنیتی برای حساب کاربری گوگل در نظر گرفته میشود بعد از این میتوانید در Advanced Protection Program گوگل ثبت نام کنید.

از این به بعد هر موقع که شما بخواهید با استفاده از نام کاربری وگذرواژه وارد حساب گوگل شوید از شما درخواست میشود که برنامه Smart Lock را روی آیفون اجرا کنید و ورود را تایید کنید البته بلوتوث باید روی هر دو دستگاه فعال باشد.

بعد از فعال کردن این قابلیت به شما پیشنهاد میشود یک کلید امنیتی پشتیبان برای حسابتان ثبت کنید برای زمانیکه شما موبایلتان را گم کنید.

گزارش گوگل در مورد هک شدن iPhone

گوشی آیفون شما می تواند با فقط بازدید از یک وبسایت به ظاهر بی خطر هک شود.این خبر بر مبنای گزارشی است که امروز توسط تیم تحقیقاتی گوگل منتشر شده.

داستان به کارزار گسترده هک شدن آیفون ها بر می گردد که متخصصین پروژه Zero گوگل اوایل امسال آنرا شناسایی کردند.در این عملیات حداقل پنچ زنجیره اکسپلویت آیفون شناسایی شد که قادر به جیل بریک کردن آیفون ها از راه دور و کارگذاری جاسوس افزار روی آنها بودند.

این زنجیره های اکسپلویت iOS مجموعا چهارده آسیب پذیری مستقل را در سیستم عامل iOS اکسپلویت می کردند که از این موارد ۷ مورد نقص مربوط به مرورگر Safari پنج مورد مربوط به کرنل iOS و دو مورد مربوط به دور زدن Sandbox بودکه دستگاه های مختلف با نسخه های iOS 10 تا آخرین نسخه iOS 12 را هدف قرار داده بودند.

بر طیق گزارش Ian Beer از پروژه Zero گوگل فقط دو مورد از آسیب پذیری ها ZERO-DAY بودند CVE-2019-7287 و CVE-2019-7286 ودر زمان شناسایی پچ نشده بودند وبطور غیر منتظره ای برای مدت دو سال شناسایی نشده بودند.با اینکه جزئیات فنی دو مورد آسیب پذیری ZERO-DAY در آن زمان در دسترس نبود سایت خبری Hacker News  در فوریه در این مورد هشدار داده بود بعد از اینکه اپل نسخه ۱۲.۱.۴ iOS رامنتشر کرد.

همانطور که متخصصین گوگل هم اذعان داشتند حمله از طریق یک مجموعه کوچک از سایت های هک شده انجام میشد که هزاران بازدید کننده در هفته داشتند وهر کاربر iOS که وارد این وبسایت ها میشد آلوده میشد.صرفا ورود به سایت کافی بود تا سرور اکسپلویت به دستگاه حمله کند ودر صورت موفقیت ابزار جاسوسی را کار گذاری کند.

زمانیکه کاربر iOS به یکی از سایت های هک شده از طریق مرورگر Safari آسیب پذیر وارد میشد،اکسپلویت های Webkit برای هریک از زنجیره های اکسپلویت فعال میشدند تا رد پایی برای داخل شدن به دستگاه کاربر پیدا کنند وبا به کار گیری اکسپلویت های ارتقا دسترسی به root دستگاه نفوذ کنند که در واقع بالاترین سطح از دسترسی است.

اکسپلویت های آیفون برای کارگذاشتن ابزاری برای سرقت فایل های iMessage , عکس ها و اطلاعات GPS کاربر و آپلود کردن آنها به یک سرور خارجی هر شصت ثانیه طراحی شده بودند.

جاسوس افزار مربوطه همچنین فایل های دیتابیس روی دستگاه کاربر که توسط اپلیکیشن های Whatsapp, telegram و iMessage استفاده می شوند را سرقت میکند .