انتشار کدهای 4 حفره امنیتی در آیفون

اپل یک محقق امنیتی که 4 حفره امنیتی Zero Day در iOS رو کشف کرده بود، برای ماه ها نادیده گرفت. حالا این محقق امنیتی به همین دلیل تصمیم گرفته کدهای آن ها را منتشر کند.با انتشار این کدها ,می توانند مورد استفاده هکر ها قرارها بگیرند.

این محقق امنیتی این 4 حفره امنیتی رو در اوایل سال میلادی جاری به اپل گزارش کرد.اپل تا الان فقط یکی از آن ها را (بدون پرداخت پول به این محقق) برطرف کرده است. 3 حفره هنوز هم در iOS 15، جدیدترین نسخه این سیستم عامل، موجود و قابل سواستفاده هستند.

اپل حفره اول رو در iOS 14.7 برطرف کرد.اما در لیستی که از برطرف کردن باگهای امنیتی منتشر می کند، اسمی از این محقق امنیتی و حفره کشف شده نبرد. بعد از  شکایت این محقق، اپل عذرخواهی کرد و گفت که در آپدیت های بعدی به اسم آن اشاره می کند. ولی بعد از چندین اپدیت یعنی نسخه 14.7.1، 14.8 و 15 ,از این محقق نامی برده نشد.

در انتها ده روز پیش، این محقق به اپل پیام داد و درخواست توضیح در این رابطه کرد.او هشدار داد که اگر جوابی ندهند، این حفره های امنیتی را به صورت عمومی منتشر می کند. اپل باز هم این پیام ها را نادیده گرفت و این محقق 4 حفره امنیتی که پیدا کرده را بعد از چند ماه نادیده گرفته شدن همراه با کدهای موردنیاز در گیت هاب به صورت عمومی منتشر کرد.

این 4 حفره امنیتی که امکان دسترسی به اطلاعات حساس کاربر را می دهند عبارتند از:

‏ حفره Gamed 0-day (رفع نشده)

به اپ ها بدون نیاز به گرفتن هیچ دسترسی از کاربر، امکان دسترسی به اسم و ایمیل اپل ایدی کاربر و دسترسی به لیست مخاطبین همراه با زمان و تعداد ارتباط با هر کدوم از آن ها را می دهد.

‏ حفره Nehelper Enumerate (رفع نشده)

به اپلیکیشن ها امکان دسترسی به لیست اپ های نصب شده توسط کاربر را می دهد.

‏ حفره Nehelper Wifi Info (رفع نشده)

به اپلیکیشن ها امکان دسترسی به اطلاعات وایفای های اطراف کاربر رو بدون نیاز به گرفتن دسترسی موردنیاز می دهد.

‏ و حفره خطرناک Analyticsd (رفع شده در iOS 14.7) که به اپ ها امکان دسترسی این اطلاعات را می دهد :

– اطلاعات پزشکی نظیر ضربان قلب، ریتم نامنظم قلب، طول دوران قاعدگی، جنسیت و سن
– آمار استفاده از دستگاه نظیر زمان های استفاده از دستگاه توسط کاربر، تعداد نوتیفیکیشن ها و عملی که کاربر روی آن ها انجام داده
– تعداد استفاده و زمان استفاده از هر اپ به تفکیک
– امار هنگ کردن هر اپ و اروری که هر اپ موقع هنگ کردن داده

همانطور که گفته شد این حفره ها به جز حفره آخر, حتی در iOS 15 هم کماکان موجود هستند.

اپل حفره آخر رو هم بی صدا برطرف کرده است. بدون اینکه از محقق نامی ببرد و مبلغی به آن (که طبق گفته های اپل میتونه تا 100 هزار دلار باشه) پرداخت کند.