یک خطای امنیتی دیگر در iOS کشف شده است که امکان ردگیریِ فعالیتهای صفحه کلید کاربر را فراهم میکند.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران، چند روزی بیشتر از ارائه وصله مهم محصولات iOS و OS X نمیگذرد
که یک اشکال امنیتی مهم در پروتکل رمزنگاری SSL این محصولات را وصله
میکند، اما به تازگی یک خطای امنیتی دیگر در iOS کشف شده است که امکان
ردگیریِ فعالیتهای صفحهی کلید کاربر را فراهم میکند.
این اشکال امنیتی در تمام نسخههای iOS 6.1.x و نسخههای جدیدتر یعنی
۷٫۰٫۴، ۷٫۰٫۵ و آخرین نسخه این سامانه عامل یعنی ۷٫۰٫۶ وجود دارد.
بازهم محققان شرکت امنیتی FireEye این آسیب پذیری را کشف کردهاند و
گزارش دادهاند یک مهاجم با سواستفاده از این آسیب پذیری میتواند تمامی
کلیدهای فشرده شده در صفحهکلید مجازیِ تلفنهمراه و همچنین تمامی
رویدادهایی که با لمس کردن صفحهی نمایش این تلفن همراه رخ میدهد را
ردیابی کند.
لازم به یادآوری است که استفاده از حسگر اثر انگشت در تلفنهای همراه
۵S شرکت اپل نیز در این آسیب پذیری قابل سواستفاده و ردگیری هستند. محققان
این شرکت به نامهای Min Zheng، Hui Xue و Tao Wei موفق شدهاند یک
برنامهی ویژهی تلفنهمراه به منظور سواستفاده از این آسیب پذیری و اثبات
آن توسعه دهند که با موفقیت اجرا میشود.
و این برنامه را به یکی از برنامههای پشت صحنهی درحال اجرا مانند
نرمافزار آبوهوای یاهو تبدیل کنند که البته این ویژگی یکی از ویژگی های
خود سامانهعامل است. تصاویری که خروجی این نرمافزار منتشر شده است نشان
میدهد که نرمافزار میتواند مختصات X و Y محل صفحهنمایش که کاربر آن را
لمس کرده است را نشان دهد.
اما در حال حاضر نمیتواند نشان دهد که کدام دکمه توسط کاربر انتخاب
شده است و البته تشخیص این کار به صورت لحظهای ممکن نیست یا بار پردازشی
زیادی دارد، و مهاجم میتواند پس از دریافت تمام این اطلاعات، کلیدهای
فشردهشده را به راحتی تفکیک کند.
نرمافزارهای ثبت رویدادهای صفحه کلید که امکان فعالیت در پشت صحنه را
دارند، مسئلهی جدیدی نیست، اما اینکه یک نرمافزار را بتوان به راحتی در
دستگاههای jailbreak شده و نشده نصب کرد، آسیب پذیری خطرناکی به نظر
میرسد.
شرکت اپل اعلام کرده است که بهزودی وصلهای برای رفع این آسیب پذیری
معرفی میکند. به کاربران توصیه میشود که آخرین نسخهی سیستم عامل iOS
یعنی نسخهی ۷٫۰٫۶ را بارگیری و نصب کنند.
و همچنین سایر کاربران سیستم عامل OS X نیز بهروزرسانی این سیستم
عامل را که به تازگی منتشر شده است و به رفع آسیب پذیریِ SSL این سیستم
عامل میپردازد، را بارگیری و اعمال کنند.