باگ امنیتی HomeKit اپل می‌تواند دیوایس‌های iOS را از کار بیندازد

زمان مورد نیاز برای مطالعه: ۳ دقیقه

«شما همیشه باید مراقب دعوت افراد غریبه به منزلتان باشید.» این جمله نتیجه‌ی تحقیق امنیتی جدیدی است که از یک حفره‌ی امنیتی در Homekit اپل خبر می‌دهد. هکرها از طریق این حفره‌ی امنیتی می‌توانند در صورت متصل شدن به اپلیکیشن Home دیوایس iOS شما را از کار بیندازند. این آسیب‌پذیری که توسط محقق امنیتی «ترور اسپینیولاس» کشف شده، می‌تواند از طریق HomeKit API اپل، رابط نرم‌افزاری که به یک اپلیکیشن iOS اجازه می‌دهد دستگاه‌های خانگی هوشمند سازگار را کنترل کند، مورد سوء استفاده قرار گیرد.

اگر یک مهاجم سایبری برای یک دیوایس مجهز به اپ HomeKit نامی بسیار طولانی – حدود ۵۰۰۰۰۰ کاراکتر – بسازد و کاربران iOS به آن متصل شوند، گوشی آن‌ها بعد از اتصال به این دیوایس مخرب دیگر پاسخگو نخواهند بود و وارد چرخه‌ی توقف و ریبوت شدن می‌شوند که تنها با ریست کردن و بازیابی گوشی iOS می‌توان مشکل را برطرف کرد.

علاوه بر این، از آنجایی که نام دیوایس‌های مجهز به اپ HomeKit در iCloud پشتیبان‌گیری می‌شوند، ورود به همان حساب iCloud با یک دیوایس بازیابی شده دوباره باعث خرابی می‌شود و این چرخه ادامه می‌یابد تا زمانی که کاربر گزینه‌ی همگام‌سازی دستگاه‌های خانگی را از iCloud غیرفعال کند.

اگرچه ممکن است یک مهاجم سایبری بتواند دیوایس کاربر دارای اپ HomeKit را به خطر بیندازد، اما محتمل ترین راه ایجاد سوء استفاده این است که مهاجم یک شبکه‌ی Home جعلی ایجاد کرده و کاربر را فریب دهد تا از طریق ایمیل فیشینگ به آن شبکه‌ی مخرب بپیوندد. برای محافظت در برابر این نوع از حملات سایبری، احتیاط اصلی برای کاربران iOS این است که فوراً هر دعوتی برای پیوستن به یک شبکه‌ی خانگی ناآشنا را رد کنند.

علاوه بر این، کاربران iOS که در حال حاضر از دستگاه‌های خانه هوشمند استفاده می‌کنند، می‌توانند با ورود به مرکز کنترل و غیرفعال کردن تنظیمات «نمایش کنترل‌های خانه» از خود در برابر این نوع تهدیدات محافظت کنند. (این امر مانع استفاده از دیوایس‌های خانگی نمی‌شود، اما دسترسی به اطلاعات از طریق مرکز کنترل را محدود می‌کند.)

اسپینیولاس جزئیات این آسیب‌پذیری را در وب‌سایت شخصی خود در تاریخ ۱ ژانویه ۲۰۲۲ (۱۰ دی ماه) منتشر کرده است. او  قبلاً به دلیل کشف یک آسیب‌پذیری در macOS Mojave که در سال ۲۰۱۹ اصلاح شده بود، مورد اعتماد شرکت اپل قرار گرفته است. اسپینیولاس گفته که این آسیب‌پذیری جدید بر آخرین نسخه‌ی iOS 15.2، تأثیر می‌گذارد و آن را حداقل به نسخه‌ی ۱۴.۷ برمی‌گرداند. این محقق امنیتی همچنین اپل را متهم کرده که در پاسخ به افشای اولیه که ماه‌ها قبل از انتشار عمومی منتشر شده بود، عملکرد بسیار کند و ضعیفی داشته است.

این محقق ایمیل‌هایی را با وب‌سایت The Verge به اشتراک گذاشته که ظاهراً نشان می‌داد یکی از نمایندگان اپل این مشکل را تأیید کرده و از اسپینیولاس خواسته است تا اوایل سال ۲۰۲۲ از انتشار جزئیات این مشکل خودداری کند. پست وبلاگی که جزئیات این آسیب‌پذیری را توضیح می‌دهد ادعا می‌کند که اپل در تاریخ ۱۰ آگوست ۲۰۲۱ ( ۱۹ مرداد ماه) از این مشکل مطلع شده و هنوز اقدام خاصی برای رفع این آسیب‌پذیری انجام نداده است.

اسپینیولاس نوشت: «فقدان شفافیت اپل نه تنها برای محققان امنیتی که اغلب به صورت رایگان کار می‌کنند ناامیدکننده است، بلکه برای میلیون‌ها کاربری که از محصولات اپل در زندگی روزمره‌ی خود استفاده می‌کنند، با کاهش مسئولیت‌پذیری اپل در مسائل امنیتی، خطرهای زیادی را ایجاد می‌کند.» باید خاطر نشان کنیم که اپل تا زمان انتشار این خبر به درخواست برای اظهار نظر در مورد این موضوع پاسخ نداده بود. باید دید در روز‌های آینده این غول فناوری آمریکایی که همواره به مقوله‌ی امنیت اهمیت زیادی داده است، در رابطه با این حفره‌ی امنیتی چه اقداماتی را مد نظر خود قرار می‌دهد.

منبع: TheVerge

راهنمای خرید آیفون


برچسب‌ها :
دیدگاه شما

پرسش امنیتی *-- بارگیری کد امنیتی --

loading...
بازدیدهای اخیر
بر اساس بازدیدهای اخیر شما
تاریخچه بازدیدها
مشاهده همه
دسته‌بندی‌های منتخب برای شما