خدمات سایت


متن کامل خبر

محقق ۲۰ ساله ۵۵ نقص امنیتی در شبکه سازمانی اپل پیدا کرد

محقق ۲۰ ساله به‌همراه اعضای تیمش ۵۵ آسیب‌پذیری که شامل ۱۱ مورد بحرانی بودند و ممکن بود باعث فاش شدن اطلاعات حساس کاربران شوند در شبکه‌ی سازمانی اپل پیدا کرد.
1399/07/22 12:12:27 ب.ظ

یک محقق امنیتی سه‌شنبه‌ی گذشته اعلام کرد شبکه‌ی سازمانی اپل برای مدت چند ماه در خطر هک شدن بوده است. این هک احتمالی درصورت به ‌وقوع ‌پیوستن ممکن بود با سرقت اطلاعات حساس میلیون‌ها کاربر اپل و اجرای کدهای مخرب در گوشی هوشمند و رایانه‌ی آن‌ها همراه شود. سم کری، محقق ۲۰ ساله و متخصص امنیت وب‌سایت‌ها، در گفت‌و‌گو با رسانه‌ی وایرد گفت او و اعضای تیمش درمجموع ۵۵ آسیب‌پذیری در شبکه‌ی سازمانی اپل پیدا کرده‌اند که ادعایی درخورتوجه است.

کری می‌گوید ۱۱ مورد از این آسیب‌پذیری‌ها، بحرانی بوده‌اند؛ زیرا همین آسیب‌پذیری‌ها به او امکان می‌دادند کنترل زیرساخت اصلی شبکه‌ی اپل را دراختیار بگیرد و از همان طریق ایمیل‌های خصوصی و داده‌های آی‌کلاد و دیگر اطلاعات خصوصی حساس را به‌سرقت ببرد. بر اساس گفته‌ی سم کری، باگ‌های بحرانی شبکه‌ی سازمانی اپل تنوع بالایی داشتند.

طبق گزارش خبرگزاری وایرد، اپل به‌محض اطلاع از این آسیب‌پذیری‌ها در راستای رفع کردن آن‌ها قدم برداشته است. سم کری در دوره‌ای سه‌ماهه اپل را از تمامی آسیب‌پذیری‌ها مطلع کرد و اپل آسیب‌پذیری‌ها را از بین برد. کری می‌گوید در برخی مواقع چند ساعت پس از مشاهده‌ی اولیه‌ی آسیب‌پذیری،‌ جزئیات آن را به اپل ارائه داده است.

ظاهرا اپل جزئیات نیمی از آسیب‌پذیری‌ها را برای پرداخت جایزه‌ی آن‌ها موردبررسی قرار داده و فعلا متعهد به پرداخت ۲۸۸,۰۰۰ دلار به محقق ۲۰ ساله و اعضای تیمش شده است. کری می‌گوید وقتی فرایند برررسی تمامی آسیب‌پذیری‌ها به‌اتمام برسد، مبلغ نهایی جایزه ممکن است از مرز ۵۰۰٬۰۰۰ دلار رد شود.
آسیب‌پذیری‌های کشف‌شده ممکن بود باعث فاش شدن تصاویر شخصی کاربران اپل شود

سم کری چند ساعت پس از انتشار مقاله‌ی ۹۲۰۰ کلمه‌ای خود با عنوان «ما اپل را به‌مدت سه ماه هک کردیم: هرآنچه پیدا کرده‌ایم در ادامه آورده‌ایم» در چتی آنلاین با رسانه‌ی وایرد شرکت کرد و گفت: «اگر آسیب‌پذیری‌های موردبحث توسط هکر مورد استفاده قرار می‌گرفتند، حجم عظیمی از داده‌های اپل فاش می‌شد و این شرکت بی‌نقص‌ بودن خود در حوزه‌ی امنیت را از دست می‌داد. برای مثال هکر امکان دسترسی به ابزارهای داخلی مدیریت اطلاعات کاربران اپل را پیدا می‌کرد و می‌توانست تغییرات مد نظر خود را در نحوه‌ی کار سیستم‌ها اعمال کند.»

سم کری می‌گوید فرایند پیدا کردن آسیب‌پذیری در شبکه‌ی سازمانی اپل نتیجه‌ی همکاری او با محققان دیگری در حوزه‌ی امنیت بود که نام‌شان بدین شرح است: برِت بورهاوس، بِن صادقی‌پور، ساموئل اِرب و تَنِر بارنِس.

از بین جدی‌ترین خطراتی که شبکه‌ی سازمانی اپل را تهدید می‌کرد می‌توانیم به یک آسیب‌پذیری در تجزیه‌کننده‌ی جاواسکریپتی که توسط سرورهای آی‌کلاد مورد استفاده قرار می‌گیرد اشاره کنیم؛ این آسیب‌پذیری امکان حمله‌ی XSS یا Cross Site Scripting را فراهم می‌کرد. از آن‌جایی که آی‌کلاد به اپل میل (Apple Mail) سرویس‌دهی می‌کند، هکر ازلحاظ تئوری می‌توانست لینکی مخرب برای فردی که ایمیلی با پسوند iCloud.com یا Mac.com دارد بفرستد و از آسیب‌پذیری بهره‌برداری کند.
محقق ۲۰ ساله و اعضای تیمش ممکن است بیش از ۵۰۰ هزار دلار جایزه دریافت کنند

در نظر داشته باشید که به‌منظور بهره‌برداری از این آسیب‌پذیری، کافی بود کاربر ایمیل را باز کند؛ این یعنی حتی به کلیک کردن روی لینک هم نیازی نبود. به ‌دنبال باز شدن ایمیل، اسکریپت مخربی که درون ایمیل پنهان شده بود به هکر امکان می‌داد تمامی کارهایی که کاربر به ‌هنگام مراجعه به سایت iCloud.com ازطریق مرورگر توانایی انجام دادن‌شان را داشت، انجام دهد.
کری می‌گوید آسیب‌پذیری XSS مورد بحث حاوی کرم رایانه‌ای بوده است، بدین معنی که می‌توانسته از یک کاربر به کاربر دیگر منتقل شود. پس از باز شدن ایمیل اولیه، ایمیلی مشابه برای تمامی کسانی که در فهرست مخاطبان iCloud.com یا Mac.com کاربر حضور دارند فرستاده می‌شد.

یک نوع آسیب‌پذیری دیگر در وب‌سایت Apple Distinguished Educators که به اپل وابسته است توسط سم کری و اعضای تیمش پیدا شد. کری می‌گوید این آسیب‌پذیری باعث می‌شد هر کس که در وب‌سایت یادشده درخواستی شامل نام کاربری، نام، نام خانوادگی و آدرس ایمیل خود ثبت می‌کرد، به‌صورت پیش‌فرض یک رمز عبور ثابت برای حساب خود دریافت کند.

همان‌طور که اشاره کردیم، کری و تیمش درمجموع ۵۵ آسیب‌پذیری در شبکه‌ی سازمانی اپل پیدا کردند که ۱۱ مورد از آن‌ها بحرانی بودند. همچنین ۲۹ آسیب‌پذیری از نوع شدید،‌ ۱۳ آسیب‌پذیری از نوع متوسط و ۲ آسیب‌پذیری از نوع ضعیف بودند.

کری و اعضای تیمش جزئیات باگ‌ها را ازطریق سیستم شکار باگ اپل دراختیار این شرکت قرار دادند. کری در مقاله‌ی خود گفت اپل به‌ازای گزارش‌های مربوط ‌به چهار آسیب‌پذیری مبلغ ۵۱٬۵۰۰ دلار به او پرداخت کرده است. او همچنین گفت مدتی بعد ایمیلی از اپل دریافت کرد که در آن نوشته شده بود اپل قصد دارد به‌خاطر ۲۸ آسیب‌پذیری، ۲۳۷٬۰۰۰ دلار دیگر به او پول بدهد. طبق گفته‌ی کری، مجموع جایزه تا پایان بررسی اپل به بیش از ۵۰۰٬۰۰۰ دلار خواهد رسید.
منبع : زومیت
به این خبر امتیاز بدهید :
هیچ نظری برای این خبر ثبت نشده است! اولین نفری باشید که نظری را ارسال می کند!
Captcha




بنیان‌گذار آپارات به ۱۰ سال زندان محکوم شد! image بنیان‌گذار آپارات به ۱۰ سال زندان محکوم شد! 1399/08/05

شعبه ۲۸ دادگاه انقلاب، محمد جواد شکوری مقدم را به‌ دلیل منتشر شدن یک ویدئو در آپارات، به ۱۰ سال حبس محکوم کرد!

امتیاز:
تعداد بازدید: 6

شیائومی از مانیتور گیمینگ Fast LCD با قیمت ۲۲۴ دلار رونمایی کرد image شیائومی از مانیتور گیمینگ Fast LCD با قیمت ۲۲۴ دلار رونمایی کرد 1399/08/03

شیائومی از مانیتور جدیدی به نام Fast LCD برای گیمرها رونمایی کرد. این مانیتور ۲۴.۵ اینچی از ویژگی‌هایی همچون زمان پاسخ‌دهی ۲ میلی ثانیه و رزولوشن فول اچ‌دی برخوردار بوده و به زودی با قیمت ۲۲۴ دلار به بازار عرضه می‌شود.

امتیاز:
تعداد بازدید: 32

طبق طرح کلان شبکه ملی اطلاعات، تا سال ۱۴۰۴ باید ۲۰ درصد گوشی‌ها داخلی باشند  image طبق طرح کلان شبکه ملی اطلاعات، تا سال ۱۴۰۴ باید ۲۰ درصد گوشی‌ها داخلی باشند 1399/07/30

با ابلاغ طرح کلان و معماری شبکه ملی اطلاعات از سوی شورای عالی فضای مجازی به سازمان‌ها، ۵۰ اقدام تعریف شده است که باید تا سال ۱۴۰۰ و ۱۴۰۴ عملیاتی شوند.

امتیاز:
تعداد بازدید: 59

ویندوز ۱۰ بدون مجوز کاربر، نسخه وب اپ آفیس را نصب می‌کند  image ویندوز ۱۰ بدون مجوز کاربر، نسخه وب اپ آفیس را نصب می‌کند 1399/07/28

کاربران گزارش داده‌اند که ویندوز ۱۰ بدون گرفتن مجوز از کاربر، نسخه وب اپ آفیس را روی کامپیوتر آن‌ها نصب کرده است.

امتیاز:
تعداد بازدید: 45

کارت حافظه سامسونگ مخصوص شرایط سخت معرفی شد  image کارت حافظه سامسونگ مخصوص شرایط سخت معرفی شد 1399/07/27

شرکت سامسونگ دو کارت حافظه جدید معرفی کرد که برای کار در شرایط آب‌وهوایی سخت طراحی شده‌اند. اگر در محیط‌های خارج از شهر عکاسی یا فیلم‌برداری می‌کنید، قطعا به این کارت حافظه نیاز خواهید داشت.

امتیاز:
تعداد بازدید: 93

بهترین عملکرد رایزن ۵۰۰۰ احتمالا با حافظه DDR4-4000 ارائه می‌شود  image بهترین عملکرد رایزن ۵۰۰۰ احتمالا با حافظه DDR4-4000 ارائه می‌شود 1399/07/26

اسلاید فاش‌شده‌ی رایزن ۵۰۰۰ نشان می‌دهد این خانواده از تراشه‌های AMD بهترین عملکرد خود را هنگام حضور حافظه‌ی DDR4-4000 در سیستم نشان می‌دهند.

امتیاز:
تعداد بازدید: 46

اینتل Core i3-10100F برای گیمرهای کم‌بودجه معرفی شد  image اینتل Core i3-10100F برای گیمرهای کم‌بودجه معرفی شد 1399/07/20

Core i3-10100F تراشه‌ی جدید سری کامت لیک است که چهار هسته و هشت ترد دارد و گیمرهایی با بودجه‌ی محدود را هدف قرار می‌دهد. این تراشه در پی رقابت با AMD Ryzen 3 3300X است.

امتیاز:
تعداد بازدید: 150

Dell مانیتور UltraSharp با فناوری mini-LED و قیمت ۵۰۰۰ دلار معرفی کرد image Dell مانیتور UltraSharp با فناوری mini-LED و قیمت ۵۰۰۰ دلار معرفی کرد 1399/07/16

دل از چندین نمایشگر جدید رونمایی کرده که بهترین آن‌ها، UltraSharp 32 HDR PremierColor نام دارد و از ۲۰۰۰ منطقه نوردهی مینی mini-LED در پنل IPS خود بهره می‌برد.

امتیاز:
تعداد بازدید: 87

کوالکام تاریخ برگزاری رویداد بعدی خود را اعلام کرد  image کوالکام تاریخ برگزاری رویداد بعدی خود را اعلام کرد 1399/07/15

انتظار می‌رود در رویداد بعدی کوالکام، تراشه اسنپدراگون ۸۷۵ برای گوشی‌های هوشمند پرچم‌دار سال ۲۰۲۱ رونمایی شود.

امتیاز:
تعداد بازدید: 141

توییت تیم کوک به‌مناسبت نهمین سالگرد درگذشت استیو جابز  image توییت تیم کوک به‌مناسبت نهمین سالگرد درگذشت استیو جابز 1399/07/15

۹ سال از درگذشت هم‌بنیان‌گذار اپل می‌گذرد و به رسم هر سال، روز گذشته، تیم کوک با ارسال پیامی در شبکه‌ی اجتماعی از او یاد کرد.

امتیاز:
تعداد بازدید: 94