هکرهای گوگل ۱۰ راه برای نفوذ به آی‌فون یافته‌اند

هکرهای زبده گوگل می‌گویند آی‌فون هم آسیب‌پذیری‌های امنیتی دارد

SPENCER PLATT / GETTY IMAGES NORTH AMERICA / AFP

اگر دنیای امنیت دیجیتال را بخواهیم در یک جمله خلاصه کنیم، عصاره‌اش این گزاره است: «هیچ سیستمی صد درصد امن نیست، مگر آن‌که خاموشش کنی و در فریزر قرارش دهی.» آی‌فون هم اگرچه به‌عنوان یکی از امن‌ترین محصولات در بازار تلفن‌های هوشمند جهان شناخته می‌شود، از این قاعده مستثنی نیست.

هکرهایی که در «پروژه صفر» گوگل فعالیت می‌کنند، حالا در گزارش تازه‌ای که در هفته جاری در کنفرانس «بلک‌هت» در لاس‌وگاس ارائه کرده‌اند، از کشف ۱۰ آسیب‌پذیری جدید در سیستم عامل iOS خبر داده‌اند که به هکرها امکان نفوذ از راه دور به آی‌فون‌ها را می‌دهد. این آسیب‌پذیری‌های امنیتی بیش از هر چیزی در سیستم پیام‌رسانی اپل (iMessage) کشف شده‌اند.

ناتالی سیلوانوویچ و ساموئل گروس، دو هکر نخبه‌ای که در استخدام کمپانی گوگل‌اند، نتایج جستجوهای‌های امنیتی خود را در یکی از مهم‌ترین کنفرانس‌های هکرهای جهان که هر سال در لاس‌وگاس برگزار می‌شود، ارائه کرده‌اند. به گفته آنها «شایعاتی درباره امکان سوء استفاده از این آسیب‌پذیری‌ها برای حمله به آی‌فون‌ها مطرح بود، اما اطلاعات فنی کمی در این باره می‌توان یافت.» آنها جزئیات فنی باگ‌هایی که یافته‌اند را در این گزارش منتشر کرده‌اند.

«پروژه صفر» گوگل، تیمی متشکل از زبده‌ترین هکرها و متخصصان و تحلیلگران امنیت دیجیتال در این کمپانی است که از سال ۲۰۱۴ آغاز به کار کرده‌اند و کارشان کشف و شکار آسیب‌پذیری‌ها در محصولات گوگل و کمپانی‌های رقیب آن است؛‌ آسیب‌پذیری‌هایی که به مجرمان سایبری، هکرهای تحت حمایت دولت‌ها و آژانس‌های جاسوسی امکان نفوذ به دستگاه‌های دیجیتال را می‌دهد.

این ۱۰ آسیب‌پذیری جدید پیدا ‌شده در گوشی‌های هوشمند اپل، علاوه بر سیستم پیام‌رسانی، در پیام‌های صوتی ویژوال و ایمیل‌های آی‌کلاود کشف شده‌اند. به گفته هکرهای گوگل، یکی از باگ‌های آی‌مسج به مهاجمان و مجرمان سایبری این امکان را می‌دهد که پیامکی فریبنده بفرستند و با فریب دادن سرور iMessage به محتوای پیام‌های متنی و عکس‌های موجود در آن دسترسی پیدا کنند. چنین حمله‌ای می‌تواند به صورت کاملا نامحسوس انجام شود؛ بدون این‌که کاربر پیام خاصی دریافت کند، یا اپلیکیشن آی‌مسج را باز کند.

آسیب‌پذیری‌های دیگر هم به هکرها این امکان را می‌دهند که کد مخربی به آی‌فون قربانی تزریق کنند، بدون این‌که قربانی از این فرآیند باخبر شود. ناتالی سیلوانوویچ در این‌باره به «وایس» گفته: «پیچیدگی‌های آی‌مسج و وابستگی‌هایش به دیگر سرویس‌ها و اپلیکیشن‌ها، این احتمال را افزایش می‌دهد که مهاجمان بتوانند با بهره‌گیری از این آسیب‌پذیری‌ها راهی برای دور زدن دیوارهای دفاعی iOS بیابند.»

به این آسیب‌پذیری‌ها در اصطلاح فنی باگ‌های Zero Click گفته می‌شود. از آنجایی که چنین حملاتی نیازمند هیچ‌گونه تعامل، همکاری و کلیکی از سوی کاربران آی‌فون نیستند، این آسیب‌پذیری‌ها را در دسته «بسیار خطرناک» قرار می‌دهند. معمولا هکرهای تحت حمایت دولت‌ها بیش از دیگر هکرها در جست‌وجوی کشف چنین آسیب‌پذیری‌هایی هستند، چون به سادگی با بهره‌گیری از آنها می‌توان عملیات نفوذ را پیش برد بدون این‌که کاربر نشانه‌ای از هک شدن ببیند.

اپل اعلام کرده که تا کنون شش مورد از این آسیب‌پذیری‌ها را در آخرین نسخه iOS برطرف کرده، اما هنوز چند حفره جدی دیگر وجود دارند که راهکاری برای رفع آنها پیدا نشده و هکرهای گوگل می‌گویند به زودی باگ‌های جدیدی را هم رو خواهند کرد. اگر کاربر اپل هستید، حتما در اسرع وقت آخرین نسخه iOS که نسخه 12.4 است را دریافت کنید تا از حملات احتمالی در امان بمانید.

چند ماه پیش بود که پژوهشگران «پروژه صفر» سری دیگری از آسیب‌پذیری‌ها را در سیستم پیام‌رسانی اپل یافتند که به هکرها این امکان را می‌داد که همه اطلاعات روی آی‌فون کاربران را از راه دور و به صورت Zero Click پاک کنند. اپل از سال ۲۰۱۶ جوایز چند صدهزار دلاری برای یافتن این باگ‌ها تعیین کرده تا بتواند بلافاصله آسیب‌پذیری‌های احتمالی را رفع و دامنه خسارات احتمالی را محدود کند. هفته گذشته این کمپانی اعلام کرد به کسانی که آسیب‌پذیری‌های جدید در سیستم عامل این کمپانی بیابند تا یک میلیون دلار پاداش خواهد داد.

سال گذشته، یان بیر، یکی از متخصصان امنیت «پروژه صفر» گوگل که بیش از ۳۰ آسیب‌پذیری گوناگون در سیستم‌ عامل اپل یافته بود، از این کمپانی خواست که در ازای این «یاری امنیتی» ۲/۵ میلیون دلار به سازمان حقوق بشری «عفو بین‌الملل» اهدا کند.

هکرهای گوگل تایید کرده‌اند که به رغم پیدا شدن این باگ‌ها، همچنان امنیت iOS بسیار بالاست و بهترین استراتژی برای کاربران این است که سیستم عامل خود را به‌روز نگه دارند و در اولین فرصت آپدیت‌های ارائه شده را دانلود و نصب کنند. البته کاربران همواره باید این اصل اساسی دنیای امنیت دیجیتال را هم به خود یادآوری کنند: «هیچ سیستمی صد درصد امن نیست، مگر آن‌که خاموشش کنی و در فریزر قرارش دهی.»

بیشتر از جهان