سرقت گواهینامه های SSL | امنیت گوشی های همراه فراموش شده
اگر با گوشی همراه خود از اینترنت استفاده میکنید و یا با آن ایمیل ارسال و دریافت میکنید، خطر سرقت رمزهای عبور و اطلاعات شخصی شما با سوءاستفاده از گواهینامههای غیر مجاز SSL وجود دارد.
هیچ یک از شرکتهای Apple و Google تا این لحظه اقدامی برای به روز رسانی سیستم عامل Apple iOS و Google Android نکردهاند و گواهینامههای شرکت DigiNotar بر روی این سیستمهای عامل همچنان معتبر و قابل استفاده هستند. شرکت Google برای به روز کردن سیستم عامل Android، وابسته به اپراتورهای تلفن همراه است و خود به تنهایی و مستقیماً قادر به به روز رسانی سیستم عامل Android نیست. اپراتورها هم معمولاً با احتیاط و تأخیر بیشتر اقدام میکنند.
شرکت Apple گوشیهای iPhone و تبلت iPad خود را مستقیماً به روز میکند. ولی متاسفانه در این حادثه، تاکنون این شرکت سکوت کرده و واکنشی نشان نداده است.
متاسفانه در اغلب موارد، کاربران ایرانی این دستگاه های هوشمند بطور مستقیم و صحیح به امکانات به روز رسانی دسترسی ندارند و لذا باید به طور دستی اقدام کنند.
گوشیهای هوشمند با سیستم عامل Windows Phone از خطرات ناشی از گواهینامههای غیرمجاز در امان هستند. نام شرکت DigiNotar در فهرست شرکتهای مجاز در این سیستم عامل وجود ندارد و لذا هیچ یک از گواهینامههای این شرکت بر روی گوشیهای Windows مجاز و معتبر نیست. این حالت برای گوشیهای BlakBerry نیز صدق میکند.
توضیح درباره شرکت Diginotar و سرقت گواهینامه های دیجیتالی SSL : شرکت DigiNotar یک شرکت Certificate Authority) CA) است و مجوز صدور گواهینامههای دیجیتالی Secure Socket Layer) SSL) را دارد. شرکت Diginotar یکی از 500 شرکت صادرکننده گواهینامههای دیجیتال SSL در دنیا است. اخیراً شبکه این شرکت مورد حمله و نفوذ قرار گرفت و صدها گواهینامه (اصل ولی غیرمجاز) توسط نفوذگرها صادر و سرقت شد. این گواهینامهها برای اثبات اصالت سایتهای اینترنتی به کار میروند. با استفاده از گواهینامههای سرقت شده، میتوان کاربران را به سایتهای جعلی که در ظاهر، کاملاً شبیه سایتهای اصلی و واقعی هستند، هدایت کرد و اطلاعات شخصی آنان، مانند رمزهای عبور به سایت را به دست آورد. چون از این گواهینامههای سرقت شده برای نشان دادن اصالت سایت جعلی استفاده میشود، هیچ یک از ابزارها و امکانات امنیتی مرورگرها واکنشی از خود نشان نمیدهند و هشداری نیز به کاربر نمیدهند. البته برای چنین عملیاتی، سرورهای محلی DNS هم باید دستکاری شوند تا نام سایتهای اصلی و واقعی به IP سایتهای جعلی انتقال یابند.