بهروزرسانی نرمافزار؛ مهمترین گام در ارتقای امنیت کاربران
ایتنا - هکرها در انتظار رخنهایاند تا به دستگاههای دیجیتال شما نفوذ کنند و شاید ندانید که یک بهروزرسانی ساده گامی مهم برای حفظ امنیت دیجیتال است.
پیامهای گاهوبیگاه رایانه یا تلفن همراه برای بارگذاری جدیدترین نسخه بهروزرسانی شده را جدی بگیرید. خواه رایانه خانگی و لپتاپ، خواه تبلت و تلفن هوشمند شما، همگی به بهروزرسانی بهعنوان راهی برای پیشگیری از نفوذ مجرمان اینترنتی نیاز دارند.
هکرها در انتظار رخنهایاند تا به دستگاههای دیجیتال شما نفوذ کنند و شاید ندانید که یک بهروزرسانی ساده گامی مهم برای حفظ امنیت دیجیتال است. در هر بهروزرسانی، ویرایشی جدید از نرمافزار در دسترس کاربران قرار داده میشود که فاقد ضعفهای امنیتی نسخه پیشین است. از همین رو، همواره تمام شرکتها بهصورت منظم برای سیستمعاملهای خود بهروزرسانیهایی منتشر میکنند که باعث میشود هم عملکرد دستگاه بهبود یابد و هم ایرادهای نرمافزاری برطرف شود.
به گزارش ایتنا و به نقل از ایندیپندنت، سیستم عامل اندروید هم هرساله نسخهای جدید ارائه میدهد؛ اما در صورتی که توسعهدهندگان با مشکلات تازهای مواجه شوند، تا زمان بهروزرسانی بعدی، هر ماه از طریق سرویس گوگل، وصلههای امنیتی جدید اندروید را منتشر میکنند. برای نمونه، گوگل در اطلاعرسانی ژانویه ۲۰۲۲، اعلام کرد که در مجموع ۴۸ آسیبپذیری را که اکثر آنها بهشدت نفوذپذیر ارزیابی شدهاند، کشف و در بهروزرسانی جدید برطرف کرده است.
برخی از شرکتهای تولیدکننده تلفن همراه این بهروزرسانیها را ماهانه منتشر نمیکنند و ممکن است در هر فصل، بهروزرسانیهای Full-OTA ارائه دهند. این بهروزرسانیها شامل چندین وصله امنیتیاند و نسبت به بهروزرسانیهای معمولی و ماهانه حجم بیشتری دارند. اما شرکتهایی که در پروژه «اندروید وان» (Android One) عضوند، بهروزرسانیها را ماهانه منتشر میکنند که موجب میشود کاربران تلفن همراه این شرکتها در برابر خطرات امنیتی بیشتر در امان باشند.
نرمافزارها نیز در اغلب موارد بر اثر مرور زمان به «پوسیدگی» (Software rot) دچار میشوند؛ این ویژگی که بر اثر انباشت انواع فایلها رخ میدهد، با بهروزرسانی رفع میشود و عملکرد نرمافزار را بازیابی میکند. در سال ۲۰۱۷، اعلام شد که «اکیفاکس» (Equifax) که یک مرکز بزرگ اعتبارسنجی برای بررسی سابقه بانکی و گزارش دهی به مشتریان است، بر اثر بهروزرسانی نشدن نرمافزار آسیبپذیر بوده و همین مسئله نفوذ هکرها و هک شدن اطلاعات ۱۴۳ میلیون نفر از مشتریان این شرکت را در پی داشته است. این حمله با سوءاستفاده از حفرهای امنیتی صورت گرفت که اگر شرکت دو ماه پیش از این حمله آخرین بهروزرسانی امنیتی را انجام میداد، با آن مواجه نمیشد.
اکنون مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR) نداشتن نرمافزار بهروزشده را نوعی کوتاهی تلقی میکند؛ این بدان معنا است که اگر یک کسبوکار از یک نرمافزار قدیمی استفاده کند، نه تنها اعتماد مشتریان را از دست میدهد، بلکه ممکن است با جریمه سنگینی مواجه شود.
یکی دیگر از نکاتی که باید همواره مدنظر کاربران قرار گیرد، توجه به سلامت مرورگر وب است. مرورگرها نیز همانند دیگر نرمافزارها باید همیشه بهروزرسانی شوند؛ زیرا با بهروزرسانی نشدن آنها، کاربران از بهرهبرداری از امکانات فناوریهای جدید محروم میمانند؛ برای مثال، بسیاری از قسمتهای وبسایتها در نسخههای قدیمی اصلا دیده نمیشوند. به همین جهت، بسیاری از شرکتهای بزرگ مانند جیمیل، یوتیوب و فیسبوک از نسخههای قدیمی پشتیبانی نمیکنند.
علاوه بر مسئله کیفیت کاربری، امنیت شخصی شما نیز با بهروزرسانی نکردن میتواند به خطر بیفتد. نفوذگران با بهره بردن از آسیبپذیریهای امنیتی مرورگر بهروزرسانی نشده میتوانند اطلاعات شخصی مانند ایمیلها، جزئیات بانکی و غیره را به سرقت ببرند. خرابکاران اینترنتی با سرعتی باورنکردنی بدافزار، ویروس و فایلهای مخرب تولید میکنند؛ از این رو در هر ویرایش جدید مرورگر، حفرههای امنیتی شناسایی و مشکلات قبلی رفع میشود و با بهروز نگه داشتن مرورگر خطر حمله کاهش مییابد.
مرورگرهای آسیبپذیر همچنین ممکن است دریافت نرمافزارهای جاسوسی را تسهیل کنند که میتواند رمزعبورها را ضبط یا حتی دستگاه شما را به یک «ربات» تبدیل کند که برای شرکت در «حمله محرومسازی از سرویس» (DoS attack) استفاده میشود. در این نوع حمله، نفوذگر تلاش میکند رایانه و منابع شبکه را از دسترس کاربران مجاز آن خارج کند.
با توسعه تلفنهای همراه، استفاده از پیامرسانها نیز افزایش یافته است. پیامرسانهای بهروزرسانی نشده نیز اهداف خوبی برای خرابکاران اینترنتیاند؛ چرا که هکرها از حفرههای امنیتی موجود در پیامرسانها برای نفوذ استفاده میکنند. در برخی از موارد هک، هیچ فعالیت مشکوکی توجه کاربر را جلب نمیکند و حتی ممکن است به غیر از بهروزرسانی نرمافزار، تمام موارد امنیتی دیگر را رعایت کرده باشد؛ روشی از نفوذ هکرها که حمله «کلیک صفر» (zero click) نامیده میشود، از این نوع است.
یک هک با کلیک صفر از نقصهای دستگاه کاربران سوءاستفاده میکند و از یک «حفره تایید داده» (data verification loophole) برای وارد شدن به سیستم استفاده میکند. اکثر نرمافزارها از فرایندهای تایید داده برای جلوگیری از نفوذ سایبری استفاده میکنند. با این حال، آسیبپذیریهایی وجود دارند که هنوز کشف نشده یا به دلیل استفاده از نسخههای قدیمی نرمافزار رفع نشدهاند و اهداف بالقوه پرسود را برای مجرمان سایبری ایجاد میکنند. هکرهای پیشرفته میتوانند از این آسیبپذیریها برای اجرای حملات سایبری استفاده کنند؛ بدون اینکه کاربر بتواند هیچ اقدامی انجام دهد.
حملات با کلیک صفر برنامههایی را هدف قرار میدهند که پیامرسانی یا تماس صوتی ارائه کردهاند؛ زیرا این سرویسها برای دریافت و تفسیر دادهها از منابع ناشناخته طراحی شدهاند. مهاجمان معمولا از دادههای شکلدهی شده خاص مانند پیام متنی یا فایل تصویری مخفی برای تزریق کدی که دستگاه را به خطر میاندازد، استفاده میکنند. واقعیت این است که پیامرسانهایی که به افراد اجازه میدهند با شماره تلفنهای خود شناسایی شوند، میتوانند هدفی آشکار برای نفوذهای پیچیده باشند.