در کنفرانس امنیتی Black Hat در لاس وگاس، ناتالی سیلوانوویچ (Natalie Silvanovich) محقق Google Project Zero، به اشکالاتی در اپلیکیشن iMessage سیستمعامل iOS، اشاره کرد. حفرههایی که میتوانند جهت بهدستآوردن کنترل دستگاه کاربران، مورد سوءاستفاده قرار گیرند.
اپل چند بهینهساز را جهت حذف این باگها منتشر کرده اما تاکنون تمامی آنها را رفع نکرده است. سیلوانوویچ گفت:
نقلقول:این نقصها را میتوان در قالب باگهایی که کد اجرا میکنند، دستهبندی کرد. در نهایت، میتوان از این حفرهها جهت مواردی مانند دسترسی به دادههای کاربران، استفاده کرد. بنابراین بدترین سناریو این است که از این باگها، جهت آسیب رساندن به کاربران، استفاده شود.
سیلانوویچ با ساموئل گروس (Samuel Groß)، عضو Project Zero همکاری کرده تا بررسی نماید که آیا سایر ابزارهای پیامرسانی از قبیل: SMS ،MMS و همچنین پست صوتی و تصویری به خطر افتادهاند؟ وی پس از مهندسی معکوس این حفرهها، چندین باگ قابل سوءاستفاده، در اپلیکیشن iMessage را کشف کرد.
تصور میشود که دلیل این نقصها، این باشد که iMessage طیف وسیعی از قابلیتها و ویژگیهای ارتباطی را ارائه میدهد و همین باعث میشود تا چنین اشتباهات و ضعفهایی محتملتر شوند. بهعنوان مثال: Animojis، ارائه عکس و فیلم و همچنین همگامشدن با سایر برنامهها از قبیل: Apple Pay ،iTunes ،Airbnb و غیره، از جمله قابلیتهای iMessage به شمار میروند.
یکی از اشکالات برجسته، باعث شد تا هکرها بتوانند اطلاعات موردنظر خود را از پیامهای یک کاربر، استخراج نمایند. به عنوان نمونه: این اشکال به مهاجمان امکان میدهد تا پیامهای خاصی را به قربانی ارسال کنند و سپس پیامهای کوتاه یا تصاویر کاربر موردنظر را دریافت نمایند.
اگرچه در iOS از محافظهایی استفاده میشود تا حملات هکرها را مسدود کنند اما این باگ، از منطق اساسی این سیستمعامل بهره میبرد، بنابراین سیستم امنیتی iOS این اشکال را به عنوان یک فعالیت امن، تفسیر میکند.
از آنجا که این باگها نیازی به اقدامی از طرف قربانی ندارند، بنابراین مورد حمایت فروشندگان و هکرهای بینالمللی قرار میگیرند. سیلانوویچ پی برده است که چنین باگهایی در بازار سیاه، ارزشی بالغ بر دهها میلیون دلار دارند. وی ادامه داد:
نقلقول:اشکالاتی از این دست، مدتها است که از دید عموم پنهان ماندهاند. حملات سایبری زیادی نسبت به برنامههایی مانند iMessage صورت میگیرد. از دیدگاه منطقی، رفع اشکالات جزئی بسیار آسان است اما شما هیچوقت نمیتوانید تمام این نواقص را در یک نرمافزار مشخص پیدا کنید، بنابراین هر کتابخانهای (library) که استفاده میکنید، می تواند تبدیل به طعمه هکرها شود. با این اوصاف، حل چنین مشکلی نسبتاً دشوار است.
سیلانوویچ در سیستمعامل موبایلی اندروید، نتوانست چنین باگهایی را پیدا کند. وی همچنین در اپلیکیشنهای WhatsApp ،Facetime و پروتکل کنفرانس ویدیوی webRTC، توانست چندین حفره مشابه را پیدا نماید. او در ادامه گفت:
نقلقول:سیلانوویچ توصیه میکند که سیستمعامل و برنامههای گوشی خود را بهروز نگه دارید، زیرا اپل اخیراً تمامی اشکالات iMessage را که توسط این محقق کشف شده بود، در iOS 12.4 و macOS 10.14.6 رفع کرده است.شاید عصر حاضر، زمانی باشد که در آن امنیت وجود نخواهد داشت. توجه زیادی به روشهای امنیتی از قبیل رمزنگاری میشود، اما اگر برنامه شما در مراحل پایانی خود حفرههایی داشته باشد، حتی یک رمزنگاری خوب نمیتواند کمبود امنیت آن را برطرف سازد.