1%

اپل به بی‌احتیاطی در مورد آسیب‌پذیری امنیتی iOS متهم شد

ZxUGxtZeUFJktYSium2scZ-970-80.jpeg.jpg

طبق گزارشات جدید، به نظر می‌رسد اپل از یک نقص امنیتی در سیستم عامل خود رنج برده که باعث می‌شود مهاجمین خیلی راحت بتوانند از کاربران اخاذی کنند. در این مقاله به روش پیشگیری و مقابله در برابر این مشکل پرداخته‌ایم. با ما در کارو تک همراه باشید.

طبق شواهد، برخی از دستگاه‌های اپل که از سیستم عامل iOS بهره می‌برند در برابر یک سرویس جدید به نام doorLock آسیب‌پذیر هستند؛ همچنین گزارشاتی منتشر شده که گویا اپل علاقه چندانی به رفع این باگ ندارد.

این آسیب‌پذیری که نخستین بار توسط یک محقق امنیتی به نام تروور اسپینیولاس کشف شد، اپل هوم‌کیت را در نسخه‌های 14.7 تا 15.2 سیستم عامل iOS تحت تأثیر قرار می‌دهد. بد نیست بدانید که اپل هوم‌کیت یک پلتفرم نرم‌افزاری برای اپلیکیشن‌های خانه هوشمند است.

اسپینیولاس این نقص را در یک ویدیو که در یوتیوب منتشر کرده به تصویر کشیده و نشان داده که برای ایجاد این نقص، تنها کاری که مهاجم باید انجام داده این است که نام یک دستگاه هوم‌کیت را به چیزی که بیش از 500٬000 کاراکتر دارد تغییر دهد.

پیشگیری در مقابل این مشکل

با ساختن یک اپلیکیشن iOS که به داده‌های بخش Home دسترسی دارد، می‌توان نام دستگاه‌های هوم کیت را تغییر داد؛ حتی اگر تلفن مورد نظر هیچ دستگاهی را در هوم کیت خود اضافه نکرده باشد. همچنین اینکه چه مدت طول می‌کشد که تا همچین نقصی توسط یک آنتی‌ویروس تشخیص داده شود، همچنان مشخص نیست.

سپس هنگامی که دستگاه سعی می‌کند این رشته طولانی کاراکتر را بارگیری کند، هنگ کرده و کاربر برای رها شدن از این وضعیت، چاره‌ای جز بازیابی کردن گوشی خود ندارد. این تنظیم مجدد باعث می‌شود تمامی داده‌های ذخیره شده پاک شوند و سپس با ورود مجدد به حساب iCloud که به آن دستگاه هوم‌کیت لینک شده است، دوباره قربانی را به حالت اولیه بازمی‌گرداند و فرد را درون یک حلقه بی‌نهایت از هنگ کردن و تنظیم مجدد محاصره می‌کند.

تروور اسپینیولاس در پست وبلاک خود توضیح داد:

«روشی که iOS نام دستگاه‌های هوم‌کیت را مدیریت می‌کند، تعریف کردن محدودیت تعداد کاراکتر برای تغییر نام دستگاه‌های سرویس هوم‌کیت بود که در نهایت نتوانست مشکل اصلی را حل کند.»

او ادامه داد:

«اگر مهاجمی از این روش استفاده کند، به احتمال زیاد از دعوتنامه‌های Home به جای یک برنامه کاربردی استفاده خواهد کرد، زیرا این دعوت‌نامه‌ها نیازی به داشتن یک دستگاه هوم‌کیت از سوی کاربر ندارد.»

اسپینیولاس همچنین اعلام کرد که او در مرداد (آگوست) به اپل در مورد این نقص خود گزارش داده است، اما این مشکل تا کنون حل نشده است؛ حتی با وجود اینکه اپل قول داده است این باگ را برطرف کند. او همچنین گفت می‌توان از این روش به عنوان یک باج‌افزار استفاده کرد و در ازای برگرداندن دستگاه به طول رشته ایمن، اخاذی و درخواست پول کرد.

اما در مقابل این مشکل چه می‌توان کرد؟ به گفته سایت bleeping Computer، در این مرحله اکنون باید تمرکز بر روی پیشگیری باشد، زیرا اگر مهاجمی به قسمت هوم قربانی دست پیدا کند، کار سخت خواهد شد.

برای این روند پیشگیری، باید ایمیل‌های دعوت‌نامه مشکوک که برای خدمات هوم‌کیت ارسال می‌شوند، مورد بررسی قرار گرفته و چک شوند؛ حتی اگر ظاهری مانند ایمیل‌های اپل و خدماتش داشته باشند.

اما برای کسانی که قبلا در این دام افتاده‌اند، می‌توانند روش زیر را انجام دهند:

  1. دستگاه خود را از حالت ریکاوری یا DFU بازیابی کنند.
  2. دستگاه را مجددا راه‌اندازی کرده ولی دوباره وارد حساب iColud نشوند.
  3. پس از اتمام راه‌اندازی دستگاه، از بخش تنظیمات وارد حساب iCloud خود شده و به سرعت برچسب Home را غیرفعال کنند. اکنون دستگاه و iCloud باید دوباره بدون دسترسی به داده‌های Home کار کنند.
  • اشتراک با دوستان
در بحث شرکت کنید
guest
0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده تمام نظرات