شرکت اپل در بیانیهای اعلام کرد که گزارشی را مبنی بر اینکه هکرها در حال بهرهجویی از سه آسیبپذیری روزصفر در سیستم عامل iOS هستند، بررسی کردهاست اما هنوز دلیلی مبنی بر صحت این ادعا نیافتهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت اپل دربیانیهای ۵ اردیبهشت اعلام کرد که گزارش اخیری را به دقت بررسی کرده که در آن ادعا شده هکرها در حال بهرهجویی (Exploit) از سه آسیبپذیری روز-صفر در سیستم عامل iOS هستند اما هنوز سندی دال بر صحیح بودن آن نیافتهاست.
بیانیه اپل پس از آن منتشر شد که در روز ۳ اردیبهشت یک شرکت امنیتی اقدام به انتشار گزارشی کرد که در آن به سه باگ امنیتی در برنامه پیشفرض Mail در iOS پرداخته شدهبود.
با این حال، اپل اعلام کرده که بر اساس جزییات بهاشتراک گذاشته شده در گزارش به نتیجهگیری یکسانی مبنی برسوءاستفاده قرار گرفتن این آسیبپذیریها نرسیدهاست. مشروح بیانیه Apple بهشرح زیر است:
«اپل تمامی گزارشهای مرتبط با تهدیدات امنیتی را به جد مورد بررسی قرار میدهد. ما بهطور جامع گزارش را بررسی کرده و بر اساس اطلاعات فراهم شده نتیجه گرفتهایم که مباحث اعلام شده ریسکی فوری برای کاربران ما تلقی نمیشود. اگر چه محقق سه باگ را در Mail کشف کرده اما به تنهایی برای عبور از حفاظتهای امنیتی لحاظ شده در iPhone و iPad کافی نبوده و ما هیچ سندی دال بر بهرهجویی از آنها بر ضد مشتریانمان نیافتهایم. این مباحث بالقوه بهزودی در یک بهروزرسانی نرمافزاری برطرف خواهند شد. ما برای مشارکتمان با محققان امنیتی در راستای امن نگاه داشتن کاربرانمان ارزش بسیاری قائل بوده و قدردان مساعدت این محقق خواهیمبود.»
تحقیق پژوهشگران و نتیجهگیریهای آنها مبنی بر بهرهجویی عمومی از آسیبپذیریهای مذکور با مخالفت برخی محققان در توییتر مواجه شدهاست.
تحقیق اصلی بر پایه این فرضیه انجام شده که به دلیل ایجاد لاگهای موسوم به Crash بهرهجویی از این آسیبپذیریهای در جریان است.
پژوهشگران وجود لاگهای Crash را اینطور تفسیر کردهاند که نشانهای از تلاش برای سوءاستفاده از باگ است.
به گفته آنها بهرهجویی ناموفق از آسیبپذیریهای مذکور منجر به باقی ماندن یک ایمیل خالی و یک لاگ Crash بر روی دستگاه میشود. آنها معتقدند که متعاقباً یا با بهرهجویی موفق، مهاجم درنهایت اقدام به حذف ایمیلهای خالی میکند تا از این طریق حمله را از دید کاربر پنهان نگاه دارد.
در مقابل، محققان امنیتی مخالف اشاره کردهاند که اگر با چنین دیدگاهی مهاجم اقدام به حذف ایمیل خالی کند به احتمال بسیار زیاد لاگهای Cash را نیز حذف خواهدکرد. این افراد متعقدند که وجود ایمیلهای مشکلدار میتواند صرفاً ناشی از باگی بیخطر در برنامه بوده و برای اثبات مورد بهرهجویی قرار گرفتن به شواهد بیشتری نیاز است.
شرکت کشفکننده آسیبپذیری در بیانیهای اعلام کرده که بهمحض در دسترس عموم قرار گرفتن اصلاحیه جزییات بیشتری را ارائه خواهدکرد.
متن بیانیه آنها بهشرح زیر است:
«بر اساس دادههای ما نمونههایی از بهرهجویی از این آسیبپذیری بر ضد تعداد محدودی از سازمانها در سطح جهان مشاهده شدهاست. ما از Apple به سبب در دستور کار قرار دادن آمادهسازی اصلاحیه سپاسگزاری کرده و مشتاقانه در انتظار بهروزرسانی دستگاههایمان بهمجرد در دسترس قرار گرفتن آن هستیم. بهمحض انتشار اصلاحیه، اطلاعات بیشتر و نمونه اثباتگر (Proof-of-Concept) را ارائه خواهیمکرد.»
باید توجه داشت که وجود این باگها هیچگاه از سوی Apple و جامعه امنیت مورد تردید واقع نشده و آنچه محل اختلاف است صحتسنجی ادعای سوءاستفاده حال حاضر مهاجمان از این باگهاست. لذا انجام بهروزرسانی پس از انتشار آن به کاربران سیستم عامل iOS توصیه میشود.
این باگها در نگارش بتای نسخه ۱۳,۴.۵سیستمعامل iOS ترمیم شده و انتظار میرود که نگارش نهایی نسخه مذکور نیز در هفتههای پیشرو منتشر شود.