برای دسترسی به لینک نیاز است که وارد انجمن شوید، اگر عضو نیستید؛ برای ثبت نام کلیک کنید
اپل دیروز برای سومین بار در دو هفته اخیر در دادگاهی در کالیفرنیا حضور پیدا کرد تا وجود یک حفره امنیتی نقد شده توسط طراحان را تکذیب و اثبات کند. به بررسی جزئیات این حفره امنیتی نا آشنا میپردازیم.
طراحان و منتقدان در حال حاضر از دادن جزئیات مربوط به این حفره خود داری کردند اما بسیاری از آنان از نام "در پشتی" برای اشاره به این حفره استفاده میکنند و اعتقاد دارند که این حفره دسترسی ساده به مهمترین و شخصی ترین اطلاعات کاربر را فراهم میکند.
محققی به نام جاناتان زیارسکی برای اولین بار در کنفرانس امنیتی HopeX که برای طراحان اپل بصورت اختصاصی برگزار میشود حرف از این حفره به میان آورد و جزئیاتی را نیز پیرامون آن ارائه داد. این حفره گویا اطلاعات مربوط به سه رابط اطلاعاتی مهم در ساختار iOS را قبل از کد گذاری و بصورت ساده در اختار هکر قرار میدهد. این رابط های اطلاعاتی مربوط به توییتر، iCloud و اکانت های ایمیل هستند. با توجه به اینکه آیکلاود هم اکنون کلیه یوزرنیم ها و پسورد های کاربران آمریکایی را نیز حمل میکند این حفره میتواند مخوف ترین حفره شناخته شده در iOS تا کنون باشد.
به گفته جاناتان این مشکل تنها در زمانی بروز میکند و اطلاعات کاربر را درز میدهد که سوییچ Send Diagnostics to Apple فعال باشد. این سوییچ اطلاعات آماری را برای اپل جمع آوری میکند و به نظر میرسد حالا یک فاکتور نا امن باشد که میبایست از آن اجتناب کرد. جاناتان به شخصه به وجود این سوییچ بسیار مشکوک است و گفته اعتقادی به صرفا آماری بودن ایده اپل برای طراحی آن ندارد.
شایان ذکر است که این دومین حفره بزرگ شناخته شده در اپل در سال جاری است. اولین حفره مربوط به کدگذاری SSL بود که اپل پس از شناسایی آن برای تمامی دستگاه های خود از جمله iPhone 3GS بروزرسانی ارائه داد.