مشاهده سوابق کاربر

متن کامل خبر

محقق ۲۰ ساله ۵۵ نقص امنیتی در شبکه سازمانی اپل پیدا کرد

آرشیو

محقق ۲۰ ساله به‌همراه اعضای تیمش ۵۵ آسیب‌پذیری که شامل ۱۱ مورد بحرانی بودند و ممکن بود باعث فاش شدن اطلاعات حساس کاربران شوند در شبکه‌ی سازمانی اپل پیدا کرد.

1399/07/22 12:12:27 ب.ظ

یک محقق امنیتی سه‌شنبه‌ی گذشته اعلام کرد شبکه‌ی سازمانی اپل برای مدت چند ماه در خطر هک شدن بوده است. این هک احتمالی درصورت به ‌وقوع ‌پیوستن ممکن بود با سرقت اطلاعات حساس میلیون‌ها کاربر اپل و اجرای کدهای مخرب در گوشی هوشمند و رایانه‌ی آن‌ها همراه شود. سم کری، محقق ۲۰ ساله و متخصص امنیت وب‌سایت‌ها، در گفت‌و‌گو با رسانه‌ی وایرد گفت او و اعضای تیمش درمجموع ۵۵ آسیب‌پذیری در شبکه‌ی سازمانی اپل پیدا کرده‌اند که ادعایی درخورتوجه است.

کری می‌گوید ۱۱ مورد از این آسیب‌پذیری‌ها، بحرانی بوده‌اند؛ زیرا همین آسیب‌پذیری‌ها به او امکان می‌دادند کنترل زیرساخت اصلی شبکه‌ی اپل را دراختیار بگیرد و از همان طریق ایمیل‌های خصوصی و داده‌های آی‌کلاد و دیگر اطلاعات خصوصی حساس را به‌سرقت ببرد. بر اساس گفته‌ی سم کری، باگ‌های بحرانی شبکه‌ی سازمانی اپل تنوع بالایی داشتند.

طبق گزارش خبرگزاری وایرد، اپل به‌محض اطلاع از این آسیب‌پذیری‌ها در راستای رفع کردن آن‌ها قدم برداشته است. سم کری در دوره‌ای سه‌ماهه اپل را از تمامی آسیب‌پذیری‌ها مطلع کرد و اپل آسیب‌پذیری‌ها را از بین برد. کری می‌گوید در برخی مواقع چند ساعت پس از مشاهده‌ی اولیه‌ی آسیب‌پذیری،‌ جزئیات آن را به اپل ارائه داده است.

ظاهرا اپل جزئیات نیمی از آسیب‌پذیری‌ها را برای پرداخت جایزه‌ی آن‌ها موردبررسی قرار داده و فعلا متعهد به پرداخت ۲۸۸,۰۰۰ دلار به محقق ۲۰ ساله و اعضای تیمش شده است. کری می‌گوید وقتی فرایند برررسی تمامی آسیب‌پذیری‌ها به‌اتمام برسد، مبلغ نهایی جایزه ممکن است از مرز ۵۰۰٬۰۰۰ دلار رد شود.
آسیب‌پذیری‌های کشف‌شده ممکن بود باعث فاش شدن تصاویر شخصی کاربران اپل شود

سم کری چند ساعت پس از انتشار مقاله‌ی ۹۲۰۰ کلمه‌ای خود با عنوان «ما اپل را به‌مدت سه ماه هک کردیم: هرآنچه پیدا کرده‌ایم در ادامه آورده‌ایم» در چتی آنلاین با رسانه‌ی وایرد شرکت کرد و گفت: «اگر آسیب‌پذیری‌های موردبحث توسط هکر مورد استفاده قرار می‌گرفتند، حجم عظیمی از داده‌های اپل فاش می‌شد و این شرکت بی‌نقص‌ بودن خود در حوزه‌ی امنیت را از دست می‌داد. برای مثال هکر امکان دسترسی به ابزارهای داخلی مدیریت اطلاعات کاربران اپل را پیدا می‌کرد و می‌توانست تغییرات مد نظر خود را در نحوه‌ی کار سیستم‌ها اعمال کند.»

سم کری می‌گوید فرایند پیدا کردن آسیب‌پذیری در شبکه‌ی سازمانی اپل نتیجه‌ی همکاری او با محققان دیگری در حوزه‌ی امنیت بود که نام‌شان بدین شرح است: برِت بورهاوس، بِن صادقی‌پور، ساموئل اِرب و تَنِر بارنِس.

از بین جدی‌ترین خطراتی که شبکه‌ی سازمانی اپل را تهدید می‌کرد می‌توانیم به یک آسیب‌پذیری در تجزیه‌کننده‌ی جاواسکریپتی که توسط سرورهای آی‌کلاد مورد استفاده قرار می‌گیرد اشاره کنیم؛ این آسیب‌پذیری امکان حمله‌ی XSS یا Cross Site Scripting را فراهم می‌کرد. از آن‌جایی که آی‌کلاد به اپل میل (Apple Mail) سرویس‌دهی می‌کند، هکر ازلحاظ تئوری می‌توانست لینکی مخرب برای فردی که ایمیلی با پسوند iCloud.com یا Mac.com دارد بفرستد و از آسیب‌پذیری بهره‌برداری کند.
محقق ۲۰ ساله و اعضای تیمش ممکن است بیش از ۵۰۰ هزار دلار جایزه دریافت کنند

در نظر داشته باشید که به‌منظور بهره‌برداری از این آسیب‌پذیری، کافی بود کاربر ایمیل را باز کند؛ این یعنی حتی به کلیک کردن روی لینک هم نیازی نبود. به ‌دنبال باز شدن ایمیل، اسکریپت مخربی که درون ایمیل پنهان شده بود به هکر امکان می‌داد تمامی کارهایی که کاربر به ‌هنگام مراجعه به سایت iCloud.com ازطریق مرورگر توانایی انجام دادن‌شان را داشت، انجام دهد.
کری می‌گوید آسیب‌پذیری XSS مورد بحث حاوی کرم رایانه‌ای بوده است، بدین معنی که می‌توانسته از یک کاربر به کاربر دیگر منتقل شود. پس از باز شدن ایمیل اولیه، ایمیلی مشابه برای تمامی کسانی که در فهرست مخاطبان iCloud.com یا Mac.com کاربر حضور دارند فرستاده می‌شد.

یک نوع آسیب‌پذیری دیگر در وب‌سایت Apple Distinguished Educators که به اپل وابسته است توسط سم کری و اعضای تیمش پیدا شد. کری می‌گوید این آسیب‌پذیری باعث می‌شد هر کس که در وب‌سایت یادشده درخواستی شامل نام کاربری، نام، نام خانوادگی و آدرس ایمیل خود ثبت می‌کرد، به‌صورت پیش‌فرض یک رمز عبور ثابت برای حساب خود دریافت کند.

همان‌طور که اشاره کردیم، کری و تیمش درمجموع ۵۵ آسیب‌پذیری در شبکه‌ی سازمانی اپل پیدا کردند که ۱۱ مورد از آن‌ها بحرانی بودند. همچنین ۲۹ آسیب‌پذیری از نوع شدید،‌ ۱۳ آسیب‌پذیری از نوع متوسط و ۲ آسیب‌پذیری از نوع ضعیف بودند.

کری و اعضای تیمش جزئیات باگ‌ها را ازطریق سیستم شکار باگ اپل دراختیار این شرکت قرار دادند. کری در مقاله‌ی خود گفت اپل به‌ازای گزارش‌های مربوط ‌به چهار آسیب‌پذیری مبلغ ۵۱٬۵۰۰ دلار به او پرداخت کرده است. او همچنین گفت مدتی بعد ایمیلی از اپل دریافت کرد که در آن نوشته شده بود اپل قصد دارد به‌خاطر ۲۸ آسیب‌پذیری، ۲۳۷٬۰۰۰ دلار دیگر به او پول بدهد. طبق گفته‌ی کری، مجموع جایزه تا پایان بررسی اپل به بیش از ۵۰۰٬۰۰۰ دلار خواهد رسید.

منبع : زومیت

به این خبر امتیاز بدهید :

برچسب های خبر:

کلمات کلیدی :

اپل,
هکر,

هیچ نظری برای این خبر ثبت نشده است! اولین نفری باشید که نظری را ارسال می کند!

نام نمایشی شما (جهت درج نظر)

ایمیل (منتشر نخواهد شد)

نظر / پیام

تصویر امنیتی Captcha

اخبار مرتبط:

پاول دورف: تلگرام احتمالاً تا یک سال دیگر مرز 1 میلیارد کاربر فعال را پشت‌سر می‌گذارد image

پاول دورف: تلگرام احتمالاً تا یک سال دیگر مرز 1 میلیارد کاربر فعال را پشت‌سر می‌گذارد 1403/01/29

مدیرعامل تلگرام در مصاحبه‌ای اعلام کرد که تعداد کاربران فعال ماهانه این پیام‌رسان احتمالاً تا یک سال دیگر از مرز 1 میلیارد می‌گذرد.

امتیاز:

تعداد بازدید: 15

واتساپ با قابلیتی کاربردی برای مدیریت بهتر چت‌ها آپدیت شد image

واتساپ با قابلیتی کاربردی برای مدیریت بهتر چت‌ها آپدیت شد 1403/01/28

واتساپ میزبان قابلیت جدیدی شده است تا بتوانید به‌راحتی هر‌کدام از چت‌ها را پیدا کنید.

امتیاز:

تعداد بازدید: 24

وسترن دیجیتال از حافظه قابل‌حمل 368 ترابایتی رونمایی کرد image

وسترن دیجیتال از حافظه قابل‌حمل 368 ترابایتی رونمایی کرد 1403/01/26

این حافظه 368 ترابایتی که داخل جعبه عرضه می‌شود، به یک پردازنده 12 هسته‌ای مجهز شده است و تقریباً 13 کیلوگرم وزن دارد.

امتیاز:

تعداد بازدید: 44

کارمندان تسلا نگران آغاز تعدیل نیرو هستند image

کارمندان تسلا نگران آغاز تعدیل نیرو هستند 1403/01/26

شایعات مربوط به اخراج نیروی‌ کار در تسلا، موجی از نگرانی را در میان کارمندان این خودروساز به‌راه انداخته است.

امتیاز:

تعداد بازدید: 42

هیولای رام‌نشدنی انویدیا؛ کارت گرافیک RTX 4090 به ذوب‌ شدن ادامه می‌دهد image

هیولای رام‌نشدنی انویدیا؛ کارت گرافیک RTX 4090 به ذوب‌ شدن ادامه می‌دهد 1403/01/26

برخی از مدل‌های کارت‌ گرافیک RTX 4090 انویدیا همچنان از فاجعه‌ی ذوب‌شدن کانکتور پاور رنج می‌برند.

امتیاز:

تعداد بازدید: 39

تصاویر جدید هندزفری‌های مورد انتظار ناتینگ لو رفت image

تصاویر جدید هندزفری‌های مورد انتظار ناتینگ لو رفت 1403/01/25

تصاویر جدید هندزفری‌های آينده‌ی ناتینگ، رنگ‌های مختلف آن‌ها را به‌نمایش می‌گذارند.

امتیاز:

تعداد بازدید: 37

کاربران به مشکلات استفاده از ویژن پرو اشاره می‌کنند؛ از سردرد تا کبودی دور چشم image

کاربران به مشکلات استفاده از ویژن پرو اشاره می‌کنند؛ از سردرد تا کبودی دور چشم 1403/01/22

کاربران به مواردی از جمله سردرد، خستگی چشم و درد ناشی از وزن دستگاه اشاره کرده‌اند.

امتیاز:

تعداد بازدید: 53

ایسر از دو لپ تاپ گیمینگ 14 اینچی جدید رونمایی کرد image

ایسر از دو لپ تاپ گیمینگ 14 اینچی جدید رونمایی کرد 1403/01/22

همچنین نسخه به‌روزشده لپ تاپ 16 اینچی Nitro ایسر نیز معرفی شده که می‌توان آن را با پردازنده نسل فعلی اینتل Core یا AMD خرید.

امتیاز:

تعداد بازدید: 37

دستیار کدنویسی گوگل جمنای به «اندروید استودیو» اضافه شد image

دستیار کدنویسی گوگل جمنای به «اندروید استودیو» اضافه شد 1403/01/21

گوگل دستیار کدنویسی جمنای را با قابلیت‌های کاربردی به اندروید استودیو اضافه کرد.

امتیاز:

تعداد بازدید: 38

ایلان ماسک: پست‌های من بیشتر از آنکه به وضع مالی ایکس کمک کرده باشد، به آن آسیب زده است image

ایلان ماسک: پست‌های من بیشتر از آنکه به وضع مالی ایکس کمک کرده باشد، به آن آسیب زده است 1403/01/21

ایلان ماسک در دادگاه اعلام کرد که پست‌های او بیشتر از آنکه به وضعیت مالی ایکس کمک کرده باشد، به آن آسیب زده است.

امتیاز:

تعداد بازدید: 46