کمیته رکن چهارم – آسیب پذیری ZipperDown حدود ۱۰% از نرم افزار iOS تحت تأثیر قرار داده است.
به نقل از سکوریتی افرز (securityaffairs)؛ یک کارشناس سایبری در چین که در زمینه شکستن قفل تجهیزات اپل (jailbreakers) تسلط داشته، اخیراً از کشف نقص امنیتی ای خبر داده که و آن را «ZipperDown» نامیده است.
این آسیب پذیری به تازگی کشف شده است و می تواند هزاران نفر از کاربران برنامه های iOS و شاید هم کاربران اندروید را تحت الشعاع قرار دهد.
این کارشناس آسیب پذیری یاد شده را حاصل خطا در برنامه نویسی دانسته است.
آزمایشگاه «Pangu»، متشکل از تیمی که بیشتر برای تولید ابزارهای «Jailbreak» آیفون شهرت دارد، در رابطه با وجود آسیبپذیری با کد نام «ZipperDown» در اپلیکیشنهای iOS هشدار داده و گفته است که میلیونها دستگاه آیفون در مقابل آن آسیبپذیر هستند.
«ZipperDown» نام این آسیبپذیری است و احتمالاً نزدیک به ۱۰ درصد از اپلیکیشن های iOS آماده برای دانلود به آن آلوده هستند. «Pangu» در رابطه با این مسئله اعلام کرده است که این آسیبپذیری اجازهی بازنویسی اطلاعات و یا اجرای کد در اپلیکیشن های آلوده را میدهد.
در حالی که مهاجمان میتوانستند با استفاده از این رخنه، گام بزرگی برای حمله به دستگاههای آیفون بردارند، اما «Pangu» اعلام کرده که اپل با یک سری پیادهسازی، اثرات این مسئله را محدود کرده است. همچنین این کمپانی اعلام کرده است که باگ نرمافزاری مشابهی هم در سیستمعامل اندروید وجود دارد که اطلاعات در این زمینه را در زمان دیگری به اشتراک خواهند گذاشت.
بر اساس بررسی که آزمایشگاه «Pangu» روی ۱۶۸۹۵۱ اپلیکیشن iOS انجام داده است، آنها اعلام کردهاند که احتمال وجود این آسیبپذیری در ۱۵۹۷۸ مورد از این اپلیکیشن ها وجود دارد که برای تایید آن باید به صورت دستی بازرسی مورد به مورد روی آنها صورت بپذیرید. آنها توضیح دادهاند که توسعهدهندگانی که اپلیکیشن آنها آلوده است میتوانند به طور مستقیم با تیم آنها ارتباط برقرار کرده و اطلاعات بیشتر در این زمینه را دریافت کنند. همچنین آنها بیان کردهاند که تعدادی از اپلیکیشنهای معروف همانند «Weibo» هم به این آسیبپذیری آلوده شدهاند.
راههایی که این باگ میتواند از طریق آنها سودجویی کند، بسته به اپلیکیشن آلوده میتواند متفاوت باشد ولی تحقیقات این تیم نشان داده است که دو مدل «Traffic Hijacking» شنود ترافیک کاربر و حتی هدایت آن به مقصد دلخواه و «Spoofing» جعل هویت به منظور اهداف غیرقانونی میتواند در این حملات مورد استفاده قرار بگیرد.
تیم «Pangu» به این نکته اشاره دارد که در میان گزینههای بالقوهای که ما آنها را شناسایی کردهایم، ما به صورت دستی آلوده بودن اپلیکیشنهای محبوبی از قبیل « Weibo، MOMO، NetEase Music، QQ Music و Kwai» را تأیید کردهایم. این اپلیکیشنها بالغ بر ۱۰۰ میلیون نفر کاربر دارند. ما برای جلوگیری از درز جزییات خطای برنامهنویسی، نام این آسیبپذیری را «ZipperDown» گذاشتیم.
منبع : سایبربان
