روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اینکه سیستمعامل آیفون یا آیپد خود را به محض آمدن نسخهی جدیدش آپدیت کنید کار بسیار خوبیست- تقریباً هر نسخهی جدیدی از iOS با خود چند مورد باگِ برطرفشده دارد که در نسخههای قبلی دیده شده بود. اما این بار شاید این ماجرا پیچیدهتر باشد: iOS 12.4 چندین آسیبپذیریِ جدی را در iMessage برطرف کرده است؛ آسیبپذیریهایی که بدون دخالت کاربر هم میتوانند مورد اکسپلویت قرار گیرند.
این شش آسیبپذیری مهم در iOS توسط ناتالی سالیوانوویچ و ساموئل گروب؛ دو عضو تیم باگیابیِ شرکت گوگل موسوم به پروژهی صفر[1] پیدا کردند. آنچه تا کنون مشخص شده این است که باگهای مذکور به مهاجم اجازه میدهند تا کد آلودهای را روی آیفون یا آیپد قربانی (بدون هیچ دخالت کاربر) اجرا کنند. تنها کاری هم که مهاجم برای اجرا شدن این اکسپلویت باید انجام دهد فرستادن پیامی آلوده به گوشیِ قربانی است.
درحالیکه چهار آسیبپذیری را میتوان برای اجرای ریموت این کد آلوده استفاده کرد؛ دو آسیبپذیریِ دیگر به مهاجم اجازه میدهد تا فایلها را روی دستگاه هکشده خوانده و اطلاعات را از روی مموری آن نشت دهد.
ترکیب هر شش آسیبپذیری، باگی را شکل میدهد که طی آن، کل دادههای ذخیرهشده روی آیفون قربانیها بدون دخالت کاربری تحت کنترل مهاجم قرار میگیرد و هیچچیز از این خطرناکتر نمیشود. علاوه بر اینها، از آنجایی که برای iOS هیچ آنتیویروسی هم وجود ندارد شاید حتی کاربر نتواند این فعالیت آلوده را شناسایی کند (دیگر نگوییم که حتی توانایی مقابله با آن را هم نخواهد داشت).
این باگها عزیزکردههای مهاجمین هستند. برای مثال، طبق نمودار قیمتهایی که شرکت Zerodium در دسترس عموم قرار داده است، باگهایی که در این سطح هستند میتوانند هر یک تا سقف 1 میلیون دلار قیمت داشته باشند. با این تفاسیر، ZDNet قیمت باگ مذکور را چیزی بین 5 تا 10 میلیون دلار قیمتگذاری میکند.
محققین بر این باورند که حتی شاید iOS 12.4 نتواند جلوی اکسپلویت شدن هر شش آسیبپذیری را بگیرد. از همین رو سالیوانوویچ و گروب قرار است جزئیات این باگها و همچنین اثبات مفهوم[2] نحوهی اکسپلویت شدن آنها را در کنفرانس امنیتی Black Hat USA در اختیار عموم قرار دهند.
به هر صورت بهترین کار این است که هر کاربر iOS علیالحساب هر چه سریعتر نسبت به آپدیت iOS 12.4 اقدام کند.
- برای آپدیت iOS به Settings -> General -> Software Update رفته و روی گزینهی Download and Install بزنید.
- برای مطلع شدن از وجود آسیبپذیریها در نرمافزاری که استفاده میکنید Kaspersky Security Cloud را نصب نمایید.
[1] Project Zero
[2] proof of concept
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
