امکان لو رفتن پسورد آی کلود و اطلاعات مهم کاربران iOS

پنج شنبه ۲۱ خرداد ۱۳۹۴ ۱۹:۳۷
به این نوشته امتیاز دهید : 0

یک توسعه دهنده با نام جان سوسچک اطلاعاتی و کدهایی را در Github منتشر کرده است که توسط آن امکان حمله به ایمیل کاربران توسط برنامه ی ایمیل iOS امکان پذیر می باشد. این کد آسب زننده می تواند توسط هر کسی اجرا شود و او اشاره می کند که در ماه ژانویه این موضوع  را با اپل در میان گذاشته است، اما در نسخه های بعدی این نقص اصلاح نشده است.

این آسیب پذیری احتمالاً مربوط به Mail.app است که در هنگام نمایش ایمیل به درستی کدهای HTML را از بدنه ی ایمیل حذف نمی کند. تنها یک تگ به طور خاص به Mail.app دستور دانلود و اجرای کد از راه دور را ارسال می کند. این نقص می تواند باعث سوء استفاده به طرق مختلف شود که یکی از آنها می تواند دانلود یک فرم باشد که لو رفتن پسورد آی کلود را امکانپذیر کند. اگر کاربر این فرم را واقعی فرض کند در آن صورت احتمال ارسال اطلاعاتش به فرد مهاجم وجود خواهد داشت.

در این حالت کاربران با یک پیغام روبرو می شوند که استانداردهای اپل آی دی را تقلید کرده و مشخصاً درخواست وارد کردن اطلاعات مرتبط به حساب آی کلود را خواهد کرد.

امکان لو رفتن پسورد آی کلود و اطلاعات مهم کاربران iOS

بعلاوه این نقص اجازه می دهد تا یک کوکی ردیابی نسب شود و برای کاهش سوء ظن مانع از اجرای کد در زمان هایی که یک پیام مشابه باز می شود باشد. در صورت لزوم مهاجم می تواند کد را طوری تغییر دهد تا هر زمان پیغام باز شد اطلاعات متفاوتی را تقاضا کند.

در این مورد مفسران در Github و رسانه های دیگر این مسآله را عنوان کرده اند که امکان شناسایی پیغام جعلی از پیغام اصلی اپل برای کاربران وجود دارد؛ به این صورت که پیغام جعلی از کاربر می خواهد که هم آی دی و هم پسورد را وارد کند، در حالیکه پیغام اصلی اپل قادر به شناسایی آی دی کاربر است و تنها از او می خواهد تا پسوردش را وارد کند. از دیگر راه های شناسایی پیغام اصلی از پیغام جعلی آن است که در پیغام اصلی کیبورد به صورت اتوماتیک نمایش داده می شود در حالیکه در پیغام جعلی کیبورد ظاهر نمی شود و باید یک ضربه زده شود تا کیبورد بالا بیاید. این موضوع هم در مورد کیبورد پیش فرض اپل و هم در مورد کیبوردهای نصب شده غیر پیش فرض در iOS صدق می کند.

با وجود تمام این نشانه های ظریف برای شناسایی پیغام اصلی از جعلی، اما همچنان مهاجمان می توانند به راحتی رمز عبور کاربرانی که توجه به جزئیات ندارند را بدست بیاورند. بعلاوه توجه به این نکته مهم است که به غیر از پسورد، امکان بدست آوردن انواع اطلاعات توسط مهاجمان در این شیوه وجود خواهد داشت. به هر حال کاربران آیفون و آیپد بهتر است این هشدار را جدی بگیرند؛ از آنجاییکه حالا این کد در دسترس عموم به صورت آنلاین قرار گرفته و احتمالاً انواع دیگر آن نیز برای نفوذ ساخته خواهد شد.

منبع ars Technica

نوشته قبلی

«

نوشته بعدی

»
نوشته های مرتبط
  • آپدیت Galaxy S6 و Galaxy S6 edge و افزایش عمر باتری
  • ظاهر طلایی رنگ و نحوه خروج قلم S Pen گلکسی نوت ۵
  • دیدگاه خود را بیان کنید

    نشانی ایمیل شما منتشر نخواهد شد. نام و ایمیل خود را وارد کنید.


    6 × = دوازده