اپل یک به‌روز رسانی برای رفع یک نقص امنیتی بحرانی در سیستم عامل‌های تلفن همراه و مک منتشر کرده است، اما هنوز ممکن است برخی از کاربران نسبت به تلاش هکرها برای رهگیری ارتباطات اینترنتی آسیب‌پذیر باشند.

روز جمعه، این شرکت نسخۀ آی‌اواس ۷.۰.۶ را برای موارد زیر منتشر کرد:

آیفون ۴ و مدلهای جدیدتر، نسل ۵ آی‌پاد تاچ، و آی‌پد ۲ و مدل‌های جدیدتر. این به‌روز رسانی به رفع مشکلی می‌پردازد که “gotofail” یا اشکالی در رمزگذاری اس‌اس‌ال نام گرفته است.

روز سه شنبه، این شرکت یک به‌روز رسانی امنیتی برای سیستم عامل مک خود منتشر کرد که نقص‌های زیر را وصله می‌کند:

  • نسخه‌های اخیر اواس‌ایکس ماوریکس ۱۰.۹ و ۱۰.۹.۱

  • نسخه‌های قبلی اواس‌ایکس لاین (شیر) نسخۀ ۱۰.۷.۵ و مانتن لاین (شیر کوهی) نسخۀ ۱۰.۸.۵.

با این حال، لری سلتزر، نویسندۀ ستون امنیتی زِد‌دی‌نت، اشاره کرده که آسیب‌پذیری‌های بسیاری در سیستم عامل‌های قدیمی‌تر اپل وجود دارد که اصلاح نشده باقی مانده‌اند.

همچنین برای نسخه‌های قدیمی‌تر اواس‌ایکس، مانند اسنو لپرد (پلنگ برفی) نسخۀ ۱۰.۶ وصله‌ای منتشر نشده است، بنابراین کاربران هنوز آسیب‌پذیر هستند مگر اینکه سخت‌افزار خود را به یک نسخۀ جدیدتر ارتقا دهند.

این نقص امنیتی کجاست؟

مشکل ایجاد شده در این بود که این امکان برای هکرها وجود داشت تا روی تبادل ارتباطات حساس کاربران نظارت داشته باشند. اپل در یکی از وب‌سایت‌های پشتیبانی خود، این حفرۀ امنیتی را اینگونه توضیح داد:

“ضربۀ امنیتی: یک مهاجم با دسترسی شبکه‌ای بالا، ممکن است در جلسه‌هایی که توسط SSL/TLS محافظت شده، داده‌ها را ضبط کرده و یا تغییر دهد.”

بدون ترمیم حفره، یک هکر می‌تواند یک سایت محافظت شده را بجای دیگری جا زده و خود را در وسط قرار داده (از این رو کاری را انجام دهد که به عنوان «حملۀ شخص در میان» ​​شناخته شده است) و به ایمیل‌ها و اطلاعات مالی که بین کاربر و سایت واقعی در حال انتقال است دست یابد.

نقص در روشی است که سیستم عامل خدمات مهمی را مانند لایۀ سوکت امن (SSL) و امنیت لایۀ انتقال (TLS) ارائه می‌کند. این دو لایۀ امنیتی این امکان را می‌دهند تا اطلاعات بدون نگرانی بین مرورگر و سرور وب، و یا بین یک سرور ایمیل و کلاینت ایمیل انتقال یابد.

روش کار اس‌اس‌ال در قالب رمزگذاری است، که شکل داده‌های ارسال شده بر روی یک شبکه را تغییر داده تا آنها را خصوصی نگاه دارد. لایۀ دوم، بررسی معتبر بودن سرور را شامل می‌شود.

آیا اثر این ترمیم بلند مدت خواهد بود؟ چه خطری باقی می‌ماند؟

این به‌روز رسانی، در حال حاضر مشکلات آی‌اواس و نسخه‌های جدیدتر اواس‌ایکس را رفع می‌کند.

اما محققان صنعت هشدار می‌دهند که هکرها به زودی می‌توانند راهی را برای دور زدن وصله‌های امنیتی که جمعه منتشر شد و نمونه‌های مشابه آن پیدا کنند. این مورد باعث شده تا اپل با نرم‌افزار‌های مایکروسافت مقایسه شود، که در گذشته سهم بالایی از انتقادها را در مورد نقصهای امنیتی داشته‌اند.

آدام لانگلی، یک مهندس ارشد نرم‌افزار در گوگل، در یک پست در سایت ImperialViolet.org نوشته “اشکالی ظریف در عمیق کد» وجود دارد.

لانگلی می‌گوید این نقص امنیتی، نتیجۀ یک خط کد نابجا است که به برنامه‌ها دستور می‌دهد بدون چک کردن و یا تایید گواهینامه‌های امنیتی یک وبسایت، به آن وصل شوند.

اپل اعلام نکره که چه زمانی و چگونه از این نقص باخبر شده و نیز نگفته است که آیا از طریق این نقص سو استفاده‌ای رخ داده است یا خیر. اما برخی از محققان می‌گویند که این مشکل از هفته‌ها یا حتی ماه‌ها پیش وجود داشته است.

نظرات

نظر (به‌وسیله فیس‌بوک)