بازی آزاد

آسیب پذیری دیگری در iOS: یک فایل صوتی می تواند آیفون شما را هک کند

اگر آیفون دارید و آهنگ های مورد علاقه خود را از دوستان و آشنایان دریافت می کنید، شاید بهتر باشد دقت بیشتری در این کار لحاظ نمایید. اپل به تازگی دو مورد آسیب پذیری را در جدیدترین نسخه سیستم عامل موبایلی اش یعنی iOS 10.3 رفع کرده که به هکرها اجازه می دادند کدهای مخرب را همزمان با پخش فایل صوتی درون تلفن همراه به اجرا درآورند.

این نقص امنیتی توسط یکی از هکرهای ناشناس که با تیم «پیشگامان روز صفر» (ZDI) شرکت «ترند مایکرو» همکاری می کند، کشف شده و علاوه بر آیفون، در اپل تی وی و واچ او اس نیز فعال بوده. به گفته اپل، آسیب پذیری فوق در دسته نقص حافظه قرار می گیرد و از طریق «ارتقاء اعتبارسنجی ورودی» برطرف شده است. بنا به دلایل نامعلوم، ZDI تا امروز اجازه نداشته در مورد این نقص صحبت کند.

لازم به ذکر است در سال 2015 نیز آسیب پذیری مشابهی در سیستم عامل اندروید کشف شد که از طریق آن، هکرها می توانستند کدهای اکسپلویت را درون فایل های MP3 و MP4 جاسازی نمایند. البته این نقص امنیتی از مکانیسم پردازش فراداده (متا دیتا) فایل های صوتی برای اجرای کدهای مخرب استفاده می کرد.

در مورد کنونی، هکر مورد بحث از فایل های MP4 (در واقع فایل های صوتی M4A) برای دور زدن سیستم امنیتی iOS استفاده کرده است. هر دو مورد آسیب پذیری مورد بحث از این موضوع سوء استفاده می کردند که طول داده های تأمین شده از طریق کاربر در سیستم عامل iOS به درستی مشخص نمی شود و اگر فایل صوتی را با دقت دستکاری کنیم، می توانیم اکسپلویت را همزمان با پخش موسیقی به اجرا درآوریم.

به هر حال این نقص امنیتی در نسخه  iOS 10.3 برطرف شده و دلیلی برای نگرانی وجود ندارد، اما اگر از نسخه قدیمی تر این سیستم عامل استفاده می کنید، بهتر است فایل های صوتی را از منابع متفرقه دریافت ننمایید.

The post appeared first on .

آسیب پذیری دیگری در iOS: یک فایل صوتی می تواند آیفون شما را هک کند

آسیب پذیری اساسی AirDroid امنیت بیش از 20 میلیون کاربر را تهدید می کند

همان طور که می دانید AirDroid یکی از محبوب ترین سرویس هاییست که امکان ارسال و دریافت پیامک، انتقال فایل و مشاهده نوتیفیکیشن ها را از طریق کامپیوتر برای کاربران اندروید فراهم می سازد. طبق آمار پلی استور، این اپلیکیشن بین 10 تا 50 میلیون بار به صورت مستقیم روی دیوایس های اندرویدی نصب شده.

خبر بد برای کاربران اپلیکیشن مورد بحث این است که شرکت امنیت موبایل Zimperium جزئیاتی را در مورد چندین آسیب پذیری عمده AirDroid منتشر ساخته. این حفره ها به مهاجمینی که به شبکه ای مشابه دسترسی دارند، اجازه می دهد به اطلاعات کاربر دست یافته و حتی کدهای مخرب را روی موبایل قربانی به اجرا درآورند.

این مشکلات امنیتی عمدتاً بدین خاطر است که AirDroid از درخواست HTTP مشابهی برای اعتبارسنجی دیوایس و ارسال داده های آماری بهره می گیرد. درخواست مورد بحث اگرچه رمزگذاری شده، اما از کلیدی استفاده می کند که در خود اپلیکیشن تعبیه گشته و در واقع تمامی کاربران این برنامه از کلید یکسانی برخوردارند.

مهاجمین با دسترسی به شبکه ارتباطی کاربر با استفاده از روش مرد میانی، از کلید استخراج شده در فایل APK اپلیکیشن مذکور برای احراز هویت و بازیابی اطلاعات حساب شخصی قربانی بهره می گیرند، و به آدرس ایمیل و رمز عبور او دسترسی خواهند داشت.

اما اوضاع از این هم بدتر می شود. مهاجمین با استفاده از یک پراکسی شفاف می توانند درخواست های AirDroid در شبکه را بررسی کرده و با مشاهده درخواست به روز رسانی افزونه ها، هرگونه APK دلخواه خود را به دیوایس کاربر ارسال نمایند که به راحتی نصب و اجرا خواهد شد.

گفتنیست شرکت AirDroid با اینکه مدت ها قبل از وجود این آسیب پذیری اطلاع داشته، اما با ارائه نسخه 4.0 در ماه گذشته نیز همچنان شاهد مشکلات فوق هستیم.

حال با عمومیت یافتن داستان و آگاهی کاربران، این کمپانی امروز در وب سایت رسمی خود اعلام کرد به زودی و نهایتاً طی دو هفته آتی، این مشکل را رفع خواهد نمود.

The post appeared first on .

آسیب پذیری اساسی AirDroid امنیت بیش از 20 میلیون کاربر را تهدید می کند