کارکردهای ثبت نشده iOS موجب دسترسی غیر مجاز به دادههای شخصی کاربران میشود
یک
نقص امینتی در iOS موجب درست شدن «در پشتی» در این سیستم عامل شده و
میتواند منجر به دسترسی مداوم آژانسهای حکومتی یا حتی یار سابقتان به
دادههای خصوصی شما شود.
بنا
بر اعلام یک متخصص قانونی، عملکردهای ثبت نشده در آیفونها که اپل آن را
ممکن ساخته است عملا به افراد غیر مجاز در یک موقعیت ممتاز امکان میدهد به
صورت بیسیم به آیفون هدف دسترسی پیدا کنند و بدون دانستن رمز عبور یا
کلمه ورود به عکسهای ذخیره شده در گوشی، پیامکها و دیگر اطلاعات خصوصی
موجود در گوشی دست یابند.
به گزارش ارستکنیکا، جاناتان زدزیارسکی، یک کارشناس قانونی به شرکت کنندگان در کنفرانس امید X گفت که او نمیتواند با اطمینان بگوید مهندسان اپل، مکانیسمها را با هدف انطباق با نظارت آژانس امنیت ملی امریکا تنظیم و فعال کردهاند. اما هنوز میتوان گفت برخی از سرویسها یا خدمات اندکی که مورد نیاز کاربر است ارائه میدهند و یا در عمل تنها هدف و کارکرد آنها، در دسترس قرار دادن حجم عظیمی از دادهها در دسترس هرکسی است که به کامپیوتر، ساعت زنگ دار یا دیگر دستگاههایی دسترسی دارد که تا کنون با کامپیوتر هدف مرتبط شده باشند.
زدزیارسکی میگوید سروری که بیش از همه نگران کننده است با عنوان com.apple.mobile.file_relay شناخته میشود. این ظرفی از اطلاعات متنوع از جمله دادههای مربوط به حسابهای ایمیل، توییتر، آیکلاود و دیگر سرویسها، یک کپی کامل از دفتر تلفن کاربر که حتی شمارههای حذف شده را هم شامل میشود، پوشه ذخیره سازی کاربر، سیاههای مربوط به موقعیت جغرافیایی که کاربر در آنها حاضر شده است، یک کپی کامل از تمام عکسهای کاربر، و دسترسی به تمام اینها بدون رمز عبور یا کلمه ورود یا پشتیبان گیری از دستگاه ممکن میشود!
او اضافه میکند دو سرویس دیگر dubbed com.apple.pcapd و com.apple.mobile.house_arrest هستند که به صورت مشروع توسعه دهندگان و نویسندگان اپلیکیشنهای شخص ثالث میتوانند از آن استفاده کنند. اما در عین حال این دو سرویس میتواند از طرف سازمانهای دولتی یا یار سابق برای جاسوسی مورد سواستفاده قرار گیرد. برای مثال، سرویس Pcapd به مردم امکان میدهد تا به صورت بیسیم همه رفت و آمد ترافیک شبکه را درون یا بیرون از دستگاه زیر نظر بگیرند. برنامه House_arrest هم در همان حال، به مهاجم امکان میدهد از اطلاعات و فایلهای حساس در توییتر، فیسبوک و سایر اپلیکیشنهای کاربر کپی تهیه کند.
زدزیارسکی میگوید سواستفاده از این سرویسها چندان آسان نیست و لذا بعید است هکرها بتوانند در مقیاس گستردهای از آن استفاده کنند. با این حال او اضافه میکند کسانی که دانش فنی لازم را داشته باشند و به کامپیوتر، شارژر یا هر دستگاه دیگری که به آیفون یا آیپد هدف وصل شده باشد و توسط آن شناسایی شده باشد، دسترسی داشته باشند، میتواند به آسانی از این نقص فنی استفاده کنند.
در جریان ارتباط آیفون یا آیپد با دستگاه جانبی، یک فایل حاوی کلیدهای دیجیتالی در گوشی یا تبلت اپلی ایجاد میشود و هرکسی که بتواند به آن فایل دسترسی پیدا کند میتواند تقریبا بدون هیچ فیلتری و اغلب به صورت بیسیم و تا وقتی که آیفون یا آیپد هدف دوباره به حالت کارخانه بازمیگردند میتواند از آن سرویسها استفاده کند. خوشبختانه iOS 7 به هیچ دستگاهی وصل نمیشود تا کاربر دکمه OK را کلیک نکند. البته هنوز امکان اینکه بتوان سابقه اتصال را از کامپیوتری که حتی یکبار با آیفون همگام سازی شده باشد به دست آورد وجود دارد.
به این ترتیب به جز آژانسهای حکومتی که میتوانند به طرقی به دستگاههای ما دسترسی بیابند، یک همکار، دوست، یار سابق و هر کسی که ما با او در ارتباط نزدیک بودهایم با دسترسی به کامپیوتری که پیشتر با آیفون یا آیپد ما جفت شده است میتواند به همه دادههای خصوصی ذخیره شده در گوشی ما پی ببرد.
همانطور که میتوان حدس زد، اپل تاکنون در این باره واکنشی نشان نداده و البته بعید است در آینده هم واکنشی نشان دهد.
به گزارش ارستکنیکا، جاناتان زدزیارسکی، یک کارشناس قانونی به شرکت کنندگان در کنفرانس امید X گفت که او نمیتواند با اطمینان بگوید مهندسان اپل، مکانیسمها را با هدف انطباق با نظارت آژانس امنیت ملی امریکا تنظیم و فعال کردهاند. اما هنوز میتوان گفت برخی از سرویسها یا خدمات اندکی که مورد نیاز کاربر است ارائه میدهند و یا در عمل تنها هدف و کارکرد آنها، در دسترس قرار دادن حجم عظیمی از دادهها در دسترس هرکسی است که به کامپیوتر، ساعت زنگ دار یا دیگر دستگاههایی دسترسی دارد که تا کنون با کامپیوتر هدف مرتبط شده باشند.
زدزیارسکی میگوید سروری که بیش از همه نگران کننده است با عنوان com.apple.mobile.file_relay شناخته میشود. این ظرفی از اطلاعات متنوع از جمله دادههای مربوط به حسابهای ایمیل، توییتر، آیکلاود و دیگر سرویسها، یک کپی کامل از دفتر تلفن کاربر که حتی شمارههای حذف شده را هم شامل میشود، پوشه ذخیره سازی کاربر، سیاههای مربوط به موقعیت جغرافیایی که کاربر در آنها حاضر شده است، یک کپی کامل از تمام عکسهای کاربر، و دسترسی به تمام اینها بدون رمز عبور یا کلمه ورود یا پشتیبان گیری از دستگاه ممکن میشود!
او اضافه میکند دو سرویس دیگر dubbed com.apple.pcapd و com.apple.mobile.house_arrest هستند که به صورت مشروع توسعه دهندگان و نویسندگان اپلیکیشنهای شخص ثالث میتوانند از آن استفاده کنند. اما در عین حال این دو سرویس میتواند از طرف سازمانهای دولتی یا یار سابق برای جاسوسی مورد سواستفاده قرار گیرد. برای مثال، سرویس Pcapd به مردم امکان میدهد تا به صورت بیسیم همه رفت و آمد ترافیک شبکه را درون یا بیرون از دستگاه زیر نظر بگیرند. برنامه House_arrest هم در همان حال، به مهاجم امکان میدهد از اطلاعات و فایلهای حساس در توییتر، فیسبوک و سایر اپلیکیشنهای کاربر کپی تهیه کند.
زدزیارسکی میگوید سواستفاده از این سرویسها چندان آسان نیست و لذا بعید است هکرها بتوانند در مقیاس گستردهای از آن استفاده کنند. با این حال او اضافه میکند کسانی که دانش فنی لازم را داشته باشند و به کامپیوتر، شارژر یا هر دستگاه دیگری که به آیفون یا آیپد هدف وصل شده باشد و توسط آن شناسایی شده باشد، دسترسی داشته باشند، میتواند به آسانی از این نقص فنی استفاده کنند.
در جریان ارتباط آیفون یا آیپد با دستگاه جانبی، یک فایل حاوی کلیدهای دیجیتالی در گوشی یا تبلت اپلی ایجاد میشود و هرکسی که بتواند به آن فایل دسترسی پیدا کند میتواند تقریبا بدون هیچ فیلتری و اغلب به صورت بیسیم و تا وقتی که آیفون یا آیپد هدف دوباره به حالت کارخانه بازمیگردند میتواند از آن سرویسها استفاده کند. خوشبختانه iOS 7 به هیچ دستگاهی وصل نمیشود تا کاربر دکمه OK را کلیک نکند. البته هنوز امکان اینکه بتوان سابقه اتصال را از کامپیوتری که حتی یکبار با آیفون همگام سازی شده باشد به دست آورد وجود دارد.
به این ترتیب به جز آژانسهای حکومتی که میتوانند به طرقی به دستگاههای ما دسترسی بیابند، یک همکار، دوست، یار سابق و هر کسی که ما با او در ارتباط نزدیک بودهایم با دسترسی به کامپیوتری که پیشتر با آیفون یا آیپد ما جفت شده است میتواند به همه دادههای خصوصی ذخیره شده در گوشی ما پی ببرد.
همانطور که میتوان حدس زد، اپل تاکنون در این باره واکنشی نشان نداده و البته بعید است در آینده هم واکنشی نشان دهد.
هیچ نظری موجود نیست:
ارسال یک نظر