کد خبر: ۲۱۶۲۰۸
تاریخ انتشار: ۳۰ ارديبهشت ۱۳۹۷ - ۱۹:۳۰
printنسخه چاپی
sendارسال به دوستان
تعداد بازدید: ۹۷۱

زنگ خطر برای میلیون ها آیفون/ اپلیکیشن‌هایی که آلوده به یک کد مخرب هستند!

آزمایشگاه Pangu، متشکل از تیمی که بیشتر برای تولید ابزارهای Jailbreak آیفون شهرت دارد، در رابطه با وجود آسیب‌پذیری با کدنام ZipperDown در اپلیکیشن‌های IOS هشدار داده و گفته است که میلیون‌ها دستگاه آیفون در مقابل آن آسیب‌پذیر هستند.
آزمایشگاه Pangu، متشکل از تیمی که بیشتر برای تولید ابزارهای Jailbreak آیفون شهرت دارد، در رابطه با وجود آسیب‌پذیری با کدنام ZipperDown در اپلیکیشن‌های IOS هشدار داده و گفته است که میلیون‌ها دستگاه آیفون در مقابل آن آسیب‌پذیر هستند.

ZipperDown کدنام این آسیب‌پذیری است و احتمالاً نزدیک به ۱۰ درصد از اپلیکیشن‌های IOS آماده برای دانلود به آن آلوده هستند. Pangu در رابطه با این مسئله اعلام کرده است که این آسیب‌پذیری اجازه‌ی بازنویسی اطلاعات و یا اجرای کد در اپلیکیشن‌های آلوده را می‌دهد.

به گزارش پایگاه خبری تیک (Tik.ir) ؛ در حالی که مهاجمان می‌توانستند با استفاده از این رخنه گام بزرگی برای حمله به دستگاه‌های آیفون بردارند، اما Pangu اعلام کرده که اپل با یکسری پیاده‌سازی، اثرات این مسئله را محدود کرده است. همچنین این کمپانی اعلام کرده است که باگ نرم‌افزاری مشابهی هم در سیستم‌عامل اندروید وجود دارد که اطلاعات در این زمینه را در زمان دیگری به اشتراک خواهند گذاشت.

توسعه‌دهندگان برای اطلاعات بیشتر باید به Pangu مراجعه کنند
بر اساس بررسی که آزمایشگاه Pangu روی ۱۶۸۹۵۱ اپلیکیشن IOS انجام داده است، آن‌ها اعلام کرده‌اند که احتمال وجود این آسیب‌پذیری در ۱۵۹۷۸ مورد از این اپلیکیشن‌ها وجود دارد که برای تایید آن باید به صورت دستی بازرسی مورد به مورد روی آن‌ها صورت بپذیرید. آن‌ها توضیح داده‌اند که توسعه‌دهندگانی که اپلیکیشن آن‌ها آلوده است می‌توانند به طور مستقیم با تیم آن‌ها ارتباط برقرار کرده و اطلاعات بیشتر در این زمینه را دریافت کنند. همچنین آن‌ها بیان کرده‌اند که تعدادی از اپلیکیشن‌های معروف همانند Weibo هم به این آسیب‌پذیری آلوده شده‌اند.

راه‌هایی که این باگ می‌تواند از طریق آن‌ها سودجویی کند، بسته به اپلیکیشن آلوده می‌تواند متفاوت باشد ولی تحقیقات این تیم نشان داده است که دو مدل Traffic Hijacking(شنود ترافیک کاربر و حتی هدایت آن به مقصد دلخواه) و Spoofing(جعل هویت به منظور اهداف غیرقانونی) می‌تواند در این حملات مورد استفاده قرار بگیرد. تیم Pangu می‌گوید:

در میان گزینه‌های بالقوه‌ای که ما آن‌ها را شناسایی کرده‌ایم، ما به صورت دستی آلوده بودن اپلیکیشن‌های محبوبی از قبیل Weibo، MOMO، NetEase Music، QQ Music و Kwai را تایید کرده‌ایم. این اپلیکیشن‌ها بالغ بر ۱۰۰ میلیون نفر کاربر دارند. ما برای جلوگیری از درز جزییات خطای برنامه‌نویسی، نام این آسیب‌پذیری را ZipperDown گذاشتیم.

تا به حال هیچ جزییاتی به صورت عمومی منتشر نشده و برای همین کاربران نباید نگران هیچ کدام از حملات اشاره شده باشند. با این حال تیم Pangu اعلام کرده که مایل است برای آدرس‌دهی دقیق محل مشکل با توسعه‌دهندگان همکاری کند. همچنین در رابطه با وجود این آسیب‌پذیری در سیستم‌عامل اندروید هم هیچ اطلاعاتی در دسترس نیست و باید منتظر بمانیم و ببینیم که در مقایسه با IOS، چه تعداد از اپلیکیشن‌های اندرویدی و تا چه سطحی به آسیب‌پذیری آلوده هستند.