اشتباهی ساده اما مخرب امنیت اطلاعاتی کاربران آیفون، آیپد و مک را
تهدید میکند؛ خطایی که ارتباطات اینترنتی رمزگذاریشده را نفوذپذیر کرده
است. برای نسخه جدید و پیشین سیستم عامل موبایل آپدیت منتشر شده است.
به گزارش سافتگذر به نقل از سیتنا، در ارتباطات اینترنتی دستگاههایی که
در دو طرف خط قرار دارند برای اطمینان از درستی هویت یکدیگر کلیدهایی را با
هم رد و بدل میکنند. در صورت تأیید هویت ارتباط برقرار میشود.
دستگاههای ساخت اپل اما در پی اشتباهی فنی درستی کلید دریافتی را کنترل
نمیکنند و هر کلیدی را میپذیرند. با این حساب هکرها یا سرویسهای امنیتی
میتوانند خود را فیسبوک یا بانک کاربر معرفی کنند و اطلاعات خصوصی او را
بدزدند.
محصولات اپل با توجه به عبارت "https" در آدرس صفحه اینترنتی ارتباط را
رمزگذاریشده قلمداد میکنند، اما اینکه بخشی از کار ایراد دارد و کلیدهای
ارسالی احتمالا مربوط به سایت، هدف نیستند، موضوعی است که از چشم آنها
پنهان میماند.
شرکت اپل روز جمعه (۲۱ فوریه/ ۲ اسفند) بسته آپدیتی برای تازهترین نسخه
سیستم عامل موبایل خود (iOS 7) و نسخه پیش از آن منتشر کرد. کاربران باید
هر چه سریعتر محصولات خود را آپدیت کنند. به کاربران توصیه شده پیش از
آپدیت از استفاده از شبکههای باز در مکانهای عمومی (فرودگاهها یا
کافیشاپها ...) بپرهیزند. عبارت "https" پشت آدرس صفحه اینترنتی ضامن
سلامتی ارتباط نیست.
کاربران کامپیوترهای اپل – مک – باید هنوز صبر کنند. یک سخنگوی شرکت به
خبرگزاری رویترز گفته که مشکل در دست بررسی است و کارشناسان اپل بر روی
بسته آپدیت کار میکنند.
از قرار معلوم مشکل اصلی در مرورگر سافاری است و فایرفاکس و کروم را
خطری تهدید نمیکند. با وجود این کارشناسان احتمال میدهند که نرمافزارهای
نصبشده روی کامپیوترهای مک تحت تأثیر خطایی مشابه نفوذپذیر باشند.
منشأ خطا کجاست؟
اما اپل کجای طراحی فناوری موسوم به "SSL/TLS" اشتباه کرده است؟ آدام
لنگلی، کارمند گوگل در وبلاگ خود نوشته که اپل کد مبادله کلید را منتشر
کرده است؛ خطا در دل این مجموعه کد وجود داشته و هکرها میتوانستند با
نوشتن یک دستور برنامهنویسی ساده، کنترل امنیتی را دور بزنند.
مشخص نیست که حفره مزبور از چه زمانی کشف شده و آیا نفوذگران و جاسوسها
از آن استفاده کردهاند یا نه. آنچه مسلم است اینکه حمله موسوم به "مرد در
میانه" میلیونها کاربر دستگاههای اپل را تهدید میکند.
در این حمله هکر بین کامپیوتر قربانی و سرور هدف قرار میگیرد. دو طرف
به تصور ارتباط امن به دادوستد اطلاعات میپردازند؛ غافل از اینکه "مرد در
میانه" همه چیز را شنود میکند.
کاربران محصولات اپل با مراجعه به این سایت میتوانند از وجود یا عدم
حفره امنیتی در مرورگر خود اطمینان حاصل کنند. توجه: روی این سایت به یک پچ
به روزرسانی (Patch) لینک داده شده که اپل آن را ارائه نکرده و بهتر است
تنها کارشناسان از آن استفاده کنند.