امنیت IOS و OS X و iCloud در برابر باگ Heartbleed

اگر اخیرا به inbox خود نگاهی انداخته باشید، ممکن است با پیام هایی مواجه شده باشید که در آنها، برنامه ها و خدمات مورد علاقه شما می‎خواهند تا به دلیل وجود باگ Heartbleed ، یک bug خطرناک که به میلیون ها وب سایت حمله کرده است، رمز عبور خود را تغییر دهید. و اگر در هفته گذشته از اخبار دور نبوده اید، باید آگاه باشید که در حال حاضر تعداد تکان دهنده بالایی از وب سایت ها در معرض خطر هستند.

باگ Heartbleed

باگ Heartbleed

آخرین تهدید امنیتی، از وجود نقصی مخاطره آمیز در نرم افزار OpenSSL ایجاد شده است که بسیاری از وب سایت ها برای اجازه ورود به سیستم و رمزگذاری و انتقال داده های کاربران از آن استفاده می‎کنند. به طور خلاصه می‎توان گفت که این تهدید، به حمله کنندگان اجازه می‎دهد تا به راحتی کلید های رمزگذاری وب سایت ها، کلمات عبور و محتوای کاربران را باز کنند که این موضوع نشان دهنده ضرورت تغییر سریع رمز عبور در برخی از محبوب ترین خدمات اینترنتی است.

اما در مورد اپل ID، آیا کلید ورود به حساب کاربری شما در Apple cloud به خطر افتاده است؟ در مورد iCloud و یا فروشگاه اپل چطور؟ به گفته سخنگوی اپل، پلتفرم های iOS و OS X در برابر باگ Heartbleed محافظت شده اند. اکنون خیالتان راحت است؟

سخنگوی اپل به Re/code می‎گوید:

اپل، بحث امنیت را بسیار جدی می‎گیرد. iOS و OS X هرگز در برابر این نرم افزار آسیب پذیر نبوده اند و خدمات اصلی مبتنی بر وب تحت تاثیر آن قرار نگرفته اند.

این خبر خوبی است، حتی با وجود آنکه گوگل، یاهو و فیس بوک اعلام کرده اند که خدمات آنها می‎تواند مستعد ابتلا به باگ Heartbleed باشد. دوباره می‎توان گفت ID اپل، ایمیل iCloud، داده های sync شده بین دستگاه ها از طریق iCloud، اعتبار فروشگاه اپل و دیگر خدمات اپل که استفاده می‎کنید در معرض خطر نیستند.

دلیل آن این است که اپل در دسامبر 2012 مخالفت خود با استفاده از OpenSS در OS X را اعلام کرد.

بر اساس مطالب موجود در AskDifferent thread، اپل چند API جایگزین را ارائه کرده است که SSL را برای توسعه دهندگان مک فراهم نماید و در مورد OpenSSL می‎گوید:

OpenSSL یک API پایدار از یک نسخه به نسخه دیگر ارائه نمی‎دهد. به همین دلیل، اگر چه OS X، کتابخانه OpenSSL را فراهم می‎کند، اما کتابخانه های OpenSSL در OS X توصیه نمی‎شوند، و OpenSSL هرگز به عنوان بخشی از iOS ارائه نشده است. استفاده از کتابخانه OS X OpenSSL توسط اپلیکیشن ها به شدت دلسرد کننده بوده است.

میزان پیامدهای ناشی از باگ Heartbleed ذهن را تحت تاثیر قرار می‎دهد. Mint.com به تازگی تایید کرد که در معرض باگ Heartbleed بوده است و هشدار داده است که این تهدید ممکن است به طور بالقوه کلمه عبور بانکی کاربر را تحت تاثیر قرار داده باشد.

به گفته کارشناس امنیتی Bruce Schneier، آسیب پذیری باگ Heartbleed در واقع “فاجعه بار است”.

او در وبلاگ خود در این هفته نوشت: “در مقیاس 1 تا 10، شدت آن 11 است”.

باگ Heartbleed

نظر  Joy of Tech درباره باگ Heartbleed:

چگونه می‎توانید اطمینان داشته باشید که باگ Heartbleed، اعتبار نامه های متعدد شما که در وب سایت ها و خدمات آنلاین به کار می‎رود را به خطر نینداخته باشد؟ برای شروع، از کلمات عبور قوی استفاده کنید و از استفاده از کلمه عبور یکسان در وب سایت های مختلف خودداری کنید.

من تمام کلمات عبور خود را در 1Password نگه داری می‎کنم – یک نرم افزار عالی مدیریت رمز عبور، برای iOS و OS X. علاوه بر نگه داشتن تمام رمز عبورها، حساب ها، یادداشت ها و دیگر اطلاعات خصوصی به طور امن در داخل صندوق رمزگذاری شده خود، یک مرورگر در داخل اپلیکیشن وجود دارد که هر زمان نیاز به ورود به سایت هایی مانند eBay، پی پال، گوگل و غیره را داشته باشم، از آن استفاده می‎کنم.

خود ایجاد کننده رمز عبور سافاری اپل نیز مفید است، به ویژه همراه با ویژگی iCloud Keychain که به طور امن sync کردن کلمات عبور وب سایت را در مک و دستگاه های iOS، بدون ذخیره سازی آنها در iCloud انجام می‎دهد.

توجه داشته باشید که تغییر کلمه عبور کار زیادی انجام نمی‎دهد، مگر اینکه شرکت ها نرم افزار امنیتی OpenSSL خود را به روز کنند. به این دلیل، بهتر است رمز عبور خود را فقط برای خدماتی که به روز رسانی نرم افزار امنیتی خود را تایید کرده اند و کاربران را تشویق به تغییر کلمه عبور خود کرده اند، تغییر دهید.
برای داشتن یک دید کلی از نحوه کار باگ Heartbleed، لطفا مقاله موجود در Yahoo Tech را بخوانید. همچنین یک نگاه دقیق به باگ Heartbleed بیاندازید و ببینید که چگونه در طول حدود یک هفته، بزرگترین راز دنیا در The Verge بوده است؟

همچنین ممکن است بخواهید مصاحبه Business Insider را با یکی از مهندسینی که باگ Heartbleed را کشف کرده است را بخوانید. فراموش نکنید که لیست Mashable از کلمات عبور باگ Heartbleed که نیاز به تغییر دارند را بررسی کنید.

و در آخر، از این ابزار وب باگ Heartbleed برای تست کردن اینکه آیا وب سایت و یا خدمات مورد علاقه شما آسیب پذیر است، استفاده کنید.

idownloadblog