حفره‌ی امنیتی یافته‌شده‌ی جدید در آی‌اواس ضمیمه‌ی ایمیل‌ها را در معرض خطر قرار می‌دهد

security-flaw-email-attachments

اپل ادعا می‌کند که از الگوریتم‌های رمزنگاری مختلفی برای حفاظت از ضمیمه‌های ایمیل در سیستم عامل آی‌اواس استفاده می‌کند. اما به تازگی گزارشی از سوی پژوهشگر امنیتی Andreas Kurtz از سرویس ZDNet منتشر شده است که اذعان می‌کند که در نسخه‌ی ۷.۰.۴ و به بعد آی‌اواس قابلیتی برای رمزنگاری فایل‌های ضمیمه‌ی ایمیل‌ها وجود ندارد.

Kurtz از وجود چنین حفره‌ای با دسترسی به فایل‌های سیستمی آی‌اواس بر روی یک آیفون ۴ دارای آی‌اواس نسخه‌ی ۷.۱ و ۷.۱.۱ مطلع شده است. Kurtz به وسیله‌ی کاوش در فولدر ایمیل مربوط به یک اکانت IMAP فهمیده است که ضمیمه‌های ایمیل در این قسمت به صورت رمزنگاری‌نشده نگهداری می‌شوند. پس از فهمیدن این موضوع مسئله را بر روی یک آیفون ۵s و یک آیپد ۲ که دارای نسخه‌ی ۷.۰.۴ از آی‌اواس بودند نیز تحقیق کرده و مشاهده کرده است که این حفره در این نسخه از آی‌اواس نیز وجود دارد.

برای بررسی صحت این مسئله آیفون ۴ جی‌اس‌ام خود را به آخرین نسخه‌های آی‌اواس (۷.۱ و ۷.۱.۱) ریستور کردم و یک اکانت ایمیل IMAP به نام account1 که با آن ایمیل‌های دارای ضمیمه‌ای برای تست ارسال و دریافت کرده بودم ساختم. سپس دستگاه خود را خاموش کرده و از طریق تکنیک‌های شناخته‌شده‌ی معمول (DFU mode ٬ custom ramdisk و دسترسی به SHSH از طریق usbmux) به فایل‌های سیستمی دسترسی پیدا کردم. در نهایت درایوی حاوی اطلاعات آی‌اواس را mount کرده و به فولدر مربوط به نگهداری اطلاعات ایمیل‌ها رفتم. در این فولدر مشاهده کردم که تمامی ضمیمه‌ها بدون نیاز به رمزگشایی قابل دستیابی هستند.

Kurtz این مسئله را به اپل گزارش داده و اپل نیز وجود چنین حفره‌ای را تصدیق کرده است٬ اما هیچ زمان مشخصی برای رفع آن اعلام نشده است. این نخستین ضعف امنیتی‌ای نیست که امسال اپل با آن روبه‌رو شده است. این شرکت به تازگی یک حفره‌ی بسیار مهم مربوط به تصدیق کانکشن SSL را در هر دو سیستم عامل آی‌اواس و اواس ایکس رفع کرده است که به حمله‌کنندگان دارای موقعیت‌های ممتاز در شبکه امکان دسترسی به اطلاعات محافظت‌شده‌ی SSL/TLS را می‌داد.

5 نظرات
  1. امیرحسین می گوید

    با عرض خسته نباشید خدمت شما دوستان عزیز و زحمت کش در سایت بزرگ اپل اپس.
    من تو اینترنت جستجو میکردم جیلبریک ناپایدار iOS 7.1 و iOS 7.1.1 برای آیفون ۴ عرضه شده. و جالب اینجاست که لینک دانلود نرم افزار رو تو سایت evasion7 قرار دادن. یعنی گروه اواسیون این جیلبریک رو تایید کرده اما متاسفانه شما اصلا خبررسانی نکردید.
    ممنون میشم اگر سریع تر خبررسانی کنید چون شاید خیلی ها مثل بنده آیفون ۴ داشته باشن و بخوان جیلبریک کنن.

    1. احمد می گوید

      جیلبریکی که عرضه شده قلاده‌ای هست و یادمه همون موقع عرضه خبرش رو همکاران کار کردن

  2. mostafa می گوید

    جمع کنید بابا جابز جابز جابز چتونه
    علم رو به پیشرفته

  3. پوريا می گوید

    خدا رحمتت کنه استیو

    1. حسین می گوید

      داداش پوریا کامنتت از عکس د خ ت ر ا توی ف ی س ب و ک بیشتر لایک خوردشا.ترکوندی. D:

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.