انتشار شده در تاریخ 1397/03/09 - 14:46

آسیب پذیری ZipperDown در تجهیزات iOS

آسیب پذیری ZipperDown حدود 10% از نرم افزار iOS تحت تأثیر قرار داده است.

به گزارش کارگروه امنیت سایبربان به نقل از سکوریتی افرز (securityaffairs)؛ یک کارشناس سایبری در چین که در زمینه شکستن قفل تجهیزات اپل (jailbreakers) تسلط داشته، اخیراً از کشف نقص امنیتی ای خبر داده که و آن را «ZipperDown» نامیده است.

این آسیب پذیری به تازگی کشف شده است و می تواند هزاران نفر از کاربران برنامه های iOS و شاید هم کاربران اندروید را تحت الشعاع قرار دهد.

این کارشناس آسیب پذیری یاد شده را حاصل خطا در برنامه نویسی دانسته است.

آزمایشگاه «Pangu»، متشکل از تیمی که بیشتر برای تولید ابزارهای «Jailbreak» آیفون شهرت دارد، در رابطه با وجود آسیب‌پذیری با کد نام «ZipperDown» در اپلیکیشن‌های iOS هشدار داده و گفته است که میلیون‌ها دستگاه آیفون در مقابل آن آسیب‌پذیر هستند.

«ZipperDown» نام این آسیب‌پذیری است و احتمالاً نزدیک به ۱۰ درصد از اپلیکیشن ‌های iOS آماده برای دانلود به آن آلوده هستند. «Pangu» در رابطه با این مسئله اعلام کرده است که این آسیب‌پذیری اجازه‌ی بازنویسی اطلاعات و یا اجرای کد در اپلیکیشن ‌های آلوده را می‌دهد.

در حالی که مهاجمان می‌توانستند با استفاده از این رخنه، گام بزرگی برای حمله به دستگاه‌های آیفون بردارند، اما «Pangu» اعلام کرده که اپل با یک سری پیاده‌سازی، اثرات این مسئله را محدود کرده است. همچنین این کمپانی اعلام کرده است که باگ نرم‌افزاری مشابهی هم در سیستم‌عامل اندروید وجود دارد که اطلاعات در این زمینه را در زمان دیگری به اشتراک خواهند گذاشت.

بر اساس بررسی که آزمایشگاه «Pangu» روی ۱۶۸۹۵۱ اپلیکیشن iOS انجام داده است، آن‌ها اعلام کرده‌اند که احتمال وجود این آسیب‌پذیری در ۱۵۹۷۸ مورد از این اپلیکیشن ‌ها وجود دارد که برای تایید آن باید به صورت دستی بازرسی مورد به مورد روی آن‌ها صورت بپذیرید. آن‌ها توضیح داده‌اند که توسعه‌دهندگانی که اپلیکیشن آن‌ها آلوده است می‌توانند به طور مستقیم با تیم آن‌ها ارتباط برقرار کرده و اطلاعات بیشتر در این زمینه را دریافت کنند. همچنین آن‌ها بیان کرده‌اند که تعدادی از اپلیکیشن‌های معروف همانند «Weibo» هم به این آسیب‌پذیری آلوده شده‌اند.

راه‌هایی که این باگ می‌تواند از طریق آن‌ها سودجویی کند، بسته به اپلیکیشن آلوده می‌تواند متفاوت باشد ولی تحقیقات این تیم نشان داده است که دو مدل «Traffic Hijacking» شنود ترافیک کاربر و حتی هدایت آن به مقصد دلخواه و «Spoofing» جعل هویت به منظور اهداف غیرقانونی می‌تواند در این حملات مورد استفاده قرار بگیرد.

تیم «Pangu» به این نکته اشاره دارد که در میان گزینه‌های بالقوه‌ای که ما آن‌ها را شناسایی کرده‌ایم، ما به صورت دستی آلوده بودن اپلیکیشن‌های محبوبی از قبیل « Weibo، MOMO، NetEase Music، QQ Music و Kwai» را تأیید کرده‌ایم. این اپلیکیشن‌ها بالغ بر ۱۰۰ میلیون نفر کاربر دارند. ما برای جلوگیری از درز جزییات خطای برنامه‌نویسی، نام این آسیب‌پذیری را «ZipperDown» گذاشتیم.