نفوذِ جدید: صفحه‌ی گذرواژه‌ی آیفون را دور زده و به تصاویر و پیام‌ها دست یابید

۶اولین کاری که برای حفاظت اطلاعات خود بر روی گوشی آیفون انجام می‌دهید این است که برای آن یک گذرواژه تنظیم می‌کنید. به‌هرحال باید بگوییم برای کسی که به گوشی شما دسترسی فیزیکی دارد، دور زدن این گذرواژه کار بسیار آسانی است.
یک آسیب‌پذیری جدید در iOS نسخه‌ی ۸ و بعد از آن از جمله نسخه‌ی ۱۰.۲ بتای ۳ کشف شده است که به هرکسی اجازه می‌دهد گذرواژه‌ی آیفون را دور زده و به اطلاعات شخصی کاربر دست یابد.

این اشکال امنیتی توسط EverythingApplePro و iDeviceHelps کشف شده و آن‌ها با نشان دادن ویدئویی آن را افشاء کرده‌اند. انتظار می‌رود که اپل این اشکال را در نسخه‌ی بتای بعدی برطرف کند.
تمامی چیزی که مهاجم به آن نیاز دارد این است که شماره تلفن هدف را پیدا کرده و برای دقایقی به آن دسترسی داشته باشد. اگر شماره تلفن هدف را نداشتید چه می‌شود؟ هیچ نگران نباشید! بر روی سامانه‌ی هدف دکمه‌ی home را نگه دارید تا Siri فعال شود و از آن بپرسید «من که هستم؟» پاسخی که Siri برمی‌گرداند شماره‌ی فعال بر روی آن دستگاه است.

چگونه صفحه‌ی قفل آیفون دور زده می‌شود؟
وقتی که شماره تلفن هدف را پیدا کردید، به سادگی گام‌های زیر را طی کنید تا بتوانید پیام‌های شخصی قربانی را خوانده و تصاویر او را ببینید.
گام ۱: وقتی که شماره قربانی را پیدا کردید، با آن تماس بگیرید. تماس FaceTime هم می‌توانید بگیرید.
گام ۲: اینک صفحه‌ی آیفون هدف یک آیکون پیام را نمایش می‌دهد. بر روی آیکون پیام کلیک کرده و پیام ویژه را انتخاب کنید تا به بخش پیام جدید وارد شوید تا بتوانید در پاسخ پیامی را بنویسید.
گام ۳: در این مرحله برای فعال کردن Siri دکمه‌ی home را فشرده و نگه دارید و سپس بگویید «Turn on Voice Over». در ادامه Siri این کار را انجام داده و صدا را ON می‌کند.
گام ۴: به صفحه‌ی پیام برگشته و بر روی نواری که قرار است نام تماس‌گیرنده را وارد کنید، دوبار بزنید و سپس نگه دارید. این کار را در حالی انجام دهید که بلافاصله بر روی صفحه‌کلید کلیک می‌کنید. شاید دفعه‌ی اول موفق نشوید این کار را انجام دهید پس این کار را آنقدر انجام دهید تا یک جلوه‌ی اسلاید-این۱ را بر روی صفحه‌ی آیفون در بالای صفحه‌کلید مشاهده کنید.
گام ۵: اینک از Siri بخواهید که «Turn off VoiceOver» را انجام دهید و به صفحه‌ی پیام برگردید و در نوار بالایی حرف اول نام تماس‌گیرنده را وارد کنید و بعداً آیکون ⓘ را وارد کرده و یک مخاطب جدید ایجاد کنید.
گام ۶: در ادامه شما می‌توانید گزینه‌ی افزودن تصویر را انتخاب کرده و یک تصویر قرار دهید. بله شما در داخل آیفون هستید و می‌توانید آلبوم عکس قربانی را مشاهده کنید. این اتفاق در حالی رخ داده که آیفون قربانی قفل بوده است.
گام ۷: شما می‌توانید بر روی این دستگاه هر مخاطبی را انتخاب کرده و مکالمات قربانی با آن مخاطب را مشاهده کنید.

می‌توانید سناریوی کامل این نفوذ را در این ویدئو ببینید.

چگونه در برابر این آسیب‌پذیری از خود حفاظت کنیم؟
تا زمانی که اپل این اشکال را برطرف کند، کاربران iOS می‌توانند بر روی صفحه‌ی قفل Siri را غیرفعال کنند هرچند که این‌ کار کاربر را در iOS ۱۰ فلج خواهد کرد. برای این کار مسیر زیر را دنبال کنید:
تنظیمات – شناسه‌ی لمس و گذرواژه – غیرفعال کردن Siri در صفحه‌ی قفل.

بعد از این تنها زمانی می‌توانید از Siri استفاده کنید که با استفاده از گذرواژه یا اثرانگشتتان صفحه‌ی قفل را باز کرده باشید. همچنین شما می‌توانید دسترسی به تصاویر را نیز در Siri حذف کنید. برای انجام این کار نیز مسیر تنظیمات – حریم خصوصی – تصاویر را دنبال کرده و دسترسی Siri به تصاویر را حذف کنید.
به احتمال زیاد اپل از آسیب‌پذیری آگاه است و کاربران آیفون باید در نسخه‌ی بعدی ۱۰.۲ iOS منتظر برطرف کردن این اشکال باشند.

۱. slide-in effect

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter