۱۰ تیر ۱۳۹۷

۱۰ درصد از اپلیکیشن های IOS تحت تأثیر آسیب پذیری ZipperDown

طبق گفته‌ی محققان امنیتی در چین، هزاران اپلیکیشن IOS ، شامل یک خطای برنامه‌نویسی هستند که می تواند این اپلیکیشن ها را در معرض حمله‌ی Hijacking قرار دهد.

تیم Pangu که به عنوان متخصصان jailbreaking آیفون (jailbreaking فرایندی است که از طریق آن می توان با دسترسی ادمین روی دستگاه IOS مود ها و tweak های مختلف نصب کرد) شناخته می شوند، ادعا کرده اند، زمانی که در حال بررسی چند اپلیکیشن IOS بودند، یک خطای برنامه نویسی پیدا کردند که در دستگاه های IOS ، به هکر قابلیت اجرای کد روی دستگاه‌های تحت تاثیر که به شبکه‌ی Wi-Fi یکسان متصل شده اند، را می دهد‌‌.

این گروه می گوید: “ما فهمیدیم که حدود ۱۰ درصد از اپلیکیشن های IOS ممکن است تحت تاثیر این خطا و یا خطاهای مشابه باشند”.  متخصصان jailbreaking برای نمونه روی ۱۶۹۰۰۰ اپلیکیشن IOS این خطا را تست کردند و از این تعداد، ۱۶۰۰۰ اپلیکیشن تحت تاثیر این خطا بودند.

Pungu وب سایت https://zipperdown.org را برای اطلاع رسانی در مورد این خطای برنامه نویسی ایجاد کرده اند که همانطور که مشخص است، نام “ZipperDown” را برای این خطای برنامه نویسی انتخاب کرده اند. همچنین  در این وب سایت فیلمی برای نشان دادن مشکل آپلود شده است. در این فیلم، کاربر یک سرویس بلاگ چینی را که نام آن Weibo است را دانلود کرده و سپس روی یک شبکه ی باز Wi-Fi و از طریق این اپلیکیشن، اقدام به حمله ی اجرای کد از راه دور می کند.

Pangu برای جلوگیری از این هرگونه فعالیت مخربانه، جزئیات فنی این خطا را منتشر نکرده است. با این حال، یک متخصص امنیت IOS به نام ویل استرافاچ در جریان جزئیات خطا قرار گرفته است. وی همچنین در توییتر گفته است که این خطا واقعاً اتفاق می افتد و به کاربران توصیه می کند که در چند هفته ی پیش رو، از به‌روز‌رسانی اپلیکیشن ها خودداری کنند و منتظر آپدیت جدید سیستم عامل دستگاه خود باشند.

Pangu برای کمک به توسعه دهندگان برای تهیه‌ی وصله‌ی امنیتی، لیست اپلیکیشن های تحت تأثیر را منتشر کرده اند که از جمله ی آنها می توان به Instagram ، Pandora ، Dropbox و Amazon اشاره کرد. البته متخصصان گفته اند، ممکن است تعدادی از اپلیکیشن های لیست شده به اشتباه در لیست قرار گرفته باشند و به توسعه دهندگان توصیه می کنند تا با بررسی دستی از وجود یا عدم وجود این خطا مطمئن شوند.

این تیم اضافه کرده است: “ما وجود مشکلی مشابه را در اپلیکیشن های اندروید تایید می کنیم و در آینده نتایج بیشتری را در مورد اپلیکیشن های اندروید منتشر می کنیم”.

 

مراجع

[۱] “ZipperDown” https://zipperdown.org/
[۲] “ZipperDown Programming Vulnerability Could Let Hackers Execute Code in iOS Apps” https://hotforsecurity.bitdefender.com/blog/zipperdown-programming-vulnerability-could-let-hackers-execute-code-in-ios-apps-19928.html , May 2018.
[۳] “Programming Error Exposes Thousands of iOS Apps to Hijacking” https://www.pcmag.com/news/361270/programming-error-exposes-thousands-of-ios-apps-to-hijacking , May 2018.
[۴] “ZipperDown Vulnerability May Impact 10% of All iOS Apps” https://www.bleepingcomputer.com/news/apple/zipperdown-vulnerability-may-impact-10-percent-of-all-ios-apps/ , May 2018