اپل: هیچ مدرکی مبنی‌بر راه‌اندازی حمله با بهره‌برداری از آسیب‌پذیری‌های موجود در برنامه‌ی پست الکترونیکی iOS وجود ندارد

اپل با تأیید وجود برخی آسیب‌پذیری‌ها در برنامه‌ی پست الکترونیکی Mail آن برای سیستم عامل iOS، تأثیر این آسیب‌پذیری‌ها را کم‌اهمیت جلوه داده و ادعاهای مبنی‌بر بهره‎برداری از آن‌ها در حملات را انکار کرد.

همان‌طورکه پیش از این گزارش شد، به‌تازگی محققان شرکت امنیت سایبری ZecOps، دو آسیب‌پذیری بحرانی روز صفرم را در برنامه‌ی پست الکترونیکی اپل برای iOS شناسایی کرده‌اند. به گفته‌ی محققان، این آسیب‌پذیری‌ها که از زمان انتشار iOS 6 در سال ۲۰۱۲ میلادی وجود دارند، می‌توانند با ارسال یک ایمیل طراحی‌شده به کاربر هدف، برای اجرای کد دلخواه در محتوای برنامه و همچنین، مشاهده، تغییر و یا حذف ایمیل‌های قربانی مورد بهره‌برداری قرار بگیرند. علاوه‌براین، این آسیب‌پذیری‌ها همراه با سایر نقص‌های امنیتی، امکان دستیابی کامل به دستگاه آسیب‌دیده را نیز برای مهاجم فراهم می‌سازند.

به گزارش محققان امنیتی، درحالی‌که در ۱۲ iOS به برخی از تعاملات با کاربر برای بهره‌برداری از این اشکال‌ها نیاز است (یعنی قربانی مجبور است ایمیل مخرب را باز کند)، اما در ۱۳ iOS، امکان راه‌اندازی حمله بدون دخالت کاربر وجود دارد.

پیش از این محققان ZecOps گزارش کرده بودند که حداقل از ژانویه‌ی سال ۲۰۱۸ میلادی، شواهدی مبنی‌بر بهره‌برداری از حداقل یکی از این آسیب‌پذیری‌ها برای هدف قراردادن یک شرکت بزرگ از لحاظ درآمدزایی، یک شخص بسیار مهم، مدیران، ارائه‌دهندگان خدمات امنیتی مدیریت‌شده و یک روزنامه‌نگار وجود دارد.

حال، اپل اعلام کرده است که این گزارش را تجزیه و تحلیل کرده و مشخص کرده است که این نقص‌ها، خطری آنی برای کاربران اپل ایجاد نمی‌کنند. این شرکت اظهار داشت، محققان در واقع سه اشکال امنیتی را در برنامه‌ی Mail شناسایی كرده‌اند، اما این اشکال‌ها به‌تنهایی برای دورزدن اقدامات محافظتی آیفون و آیپد كافی نیستند. اپل همچنین اعلام کرد که هیچ‌گونه شواهدی مبنی‌بر بهره‌برداری از این آسیب‌پذیری‌ها برای هدف قراردادن مشتریان خود پیدا نکرده است.

این غول فناوری درحال‌حاضر این آسیب‌پذیری‌ها را در نسخه‌ی بتای ۱۳٫۴٫۵ iOS وصله کرده و قصد دارد این وصله‌ها را با انتشار نسخه‌های امنیتی جدید خود، در دسترس تمامی کاربران قرار دهد.

درحالی‌که برخی دیگر از اعضای این صنعت نیز ادعاهای ZecOps در مورد بهره‌برداری از این آسیب‌پذیری‌ها را زیر سوال برده‌اند، اما این شرکت امنیت سایبری پای گزارش خود ایستاده و قول داده است یک پست تکمیلی را با جزئیات بیشتر منتشر کند.

منبع

پست‌های مشابه

Leave a Comment