یک خطای امنیتی دیگر در iOS کشف شده است که امکان ردگیریِ فعالیتهای صفحه کلید کاربر را فراهم میکند.
به گزارش شهداي ايران به نقل از وبگاه فناوری اطلاعات سازمان انرژی اتمی چند روزی بیشتر از ارائه وصله مهم محصولات iOS و OS X نمیگذرد که یک اشکال امنیتی مهم در پروتکل رمزنگاری SSL این محصولات را وصله میکند، اما به تازگی یک خطای امنیتی دیگر در iOS کشف شده است که امکان ردگیریِ فعالیتهای صفحهی کلید کاربر را فراهم میکند.
این اشکال امنیتی در تمام نسخههای iOS 6.1.x و نسخههای جدیدتر یعنی 7.0.4، 7.0.5 و آخرین نسخه این سامانه عامل یعنی 7.0.6 وجود دارد.
بازهم محققان شرکت امنیتی FireEye این آسیبپذیری را کشف کردهاند و گزارش دادهاند یک مهاجم با سوءاستفاده از این آسیبپذیری میتواند تمامی کلیدهای فشرده شده در صفحهکلید مجازیِ تلفنهمراه و همچنین تمامی رویدادهایی که با لمس کردن صفحهی نمایش این تلفن همراه رخ میدهد را ردیابی کند. لازم به یادآوری است که استفاده از حسگر اثر انگشت در تلفنهای همراه 5S شرکت اپل نیز در این آسیبپذیری قابل سوءاستفاده و ردگیری هستند.
محققان این شرکت به نامهای Min Zheng، Hui Xue و Tao Wei موفق شدهاند یک برنامهی ویژهی تلفنهمراه به منظور سوءاستفاده از این آسیبپذیری و اثبات آن توسعه دهند که با موفقیت اجرا میشود و این برنامه را به یکی از برنامههای پشت صحنهی درحال اجرا مانند نرمافزار آبوهوای یاهو تبدیل کنند که البته این ویژگی یکی از ویژگی های خود سامانهعامل است.
تصاویری که خروجی این نرمافزار منتشر شده است نشان میدهد که نرمافزار میتواند مختصات X و Y محل صفحهنمایش که کاربر آن را لمس کرده است را نشان دهد، اما در حال حاضر نمیتواند نشان دهد که کدام دکمه توسط کاربر انتخاب شده است و البته تشخیص این کار به صورت لحظهای ممکن نیست یا بار پردازشی زیادی دارد، و مهاجم میتواند پس از دریافت تمام این اطلاعات، کلیدهای فشردهشده را به راحتی تفکیک کند.
نرمافزارهای ثبت رویدادهای صفحه کلید که امکان فعالیت در پشت صحنه را دارند، مسئلهی جدیدی نیست، اما اینکه یک نرمافزار را بتوان به راحتی در دستگاههای jailbreak شده و نشده نصب کرد، آسیبپذیری خطرناکی به نظر میرسد.
شرکت اپل اعلام کرده است که بهزودی وصلهای برای رفع این آسیبپذیری معرفی میکند.
به کاربران توصیه میشود که آخرین نسخهی سامانهعامل iOS یعنی نسخهی 7.0.6 را بارگیری و نصب کنند و همچنین سایر کاربران سامانهعامل OS X نیز بهروزرسانی این سامانهعامل را که به تازگی منتشر شده است و به رفع آسیبپذیریِ SSL این سامانهعامل میپردازد، را بارگیری و اعمال کنند
این اشکال امنیتی در تمام نسخههای iOS 6.1.x و نسخههای جدیدتر یعنی 7.0.4، 7.0.5 و آخرین نسخه این سامانه عامل یعنی 7.0.6 وجود دارد.
بازهم محققان شرکت امنیتی FireEye این آسیبپذیری را کشف کردهاند و گزارش دادهاند یک مهاجم با سوءاستفاده از این آسیبپذیری میتواند تمامی کلیدهای فشرده شده در صفحهکلید مجازیِ تلفنهمراه و همچنین تمامی رویدادهایی که با لمس کردن صفحهی نمایش این تلفن همراه رخ میدهد را ردیابی کند. لازم به یادآوری است که استفاده از حسگر اثر انگشت در تلفنهای همراه 5S شرکت اپل نیز در این آسیبپذیری قابل سوءاستفاده و ردگیری هستند.
محققان این شرکت به نامهای Min Zheng، Hui Xue و Tao Wei موفق شدهاند یک برنامهی ویژهی تلفنهمراه به منظور سوءاستفاده از این آسیبپذیری و اثبات آن توسعه دهند که با موفقیت اجرا میشود و این برنامه را به یکی از برنامههای پشت صحنهی درحال اجرا مانند نرمافزار آبوهوای یاهو تبدیل کنند که البته این ویژگی یکی از ویژگی های خود سامانهعامل است.
تصاویری که خروجی این نرمافزار منتشر شده است نشان میدهد که نرمافزار میتواند مختصات X و Y محل صفحهنمایش که کاربر آن را لمس کرده است را نشان دهد، اما در حال حاضر نمیتواند نشان دهد که کدام دکمه توسط کاربر انتخاب شده است و البته تشخیص این کار به صورت لحظهای ممکن نیست یا بار پردازشی زیادی دارد، و مهاجم میتواند پس از دریافت تمام این اطلاعات، کلیدهای فشردهشده را به راحتی تفکیک کند.
نرمافزارهای ثبت رویدادهای صفحه کلید که امکان فعالیت در پشت صحنه را دارند، مسئلهی جدیدی نیست، اما اینکه یک نرمافزار را بتوان به راحتی در دستگاههای jailbreak شده و نشده نصب کرد، آسیبپذیری خطرناکی به نظر میرسد.
شرکت اپل اعلام کرده است که بهزودی وصلهای برای رفع این آسیبپذیری معرفی میکند.
به کاربران توصیه میشود که آخرین نسخهی سامانهعامل iOS یعنی نسخهی 7.0.6 را بارگیری و نصب کنند و همچنین سایر کاربران سامانهعامل OS X نیز بهروزرسانی این سامانهعامل را که به تازگی منتشر شده است و به رفع آسیبپذیریِ SSL این سامانهعامل میپردازد، را بارگیری و اعمال کنند