دسترسی هکرها به وبکم تمام محصولات اپل از طریق مرورگر سافاری

اپل همواره به عنوان شرکتی شناخته می‌شود که نگاهی ویژه به امنیت کاربران خود دارد. با این حال این کمپانی در طول سالیان گذشته با امنیت مرورگر سافاری مشکلاتی داشته است. اخیرا یک محقق حوزه امنیت توانسته باگی در این مرورگر پیدا کند که به هکر‌ها اجازه می‌دهد به دوربین سلفی یا وبکم و میکروفون دستگاه‌های کاربران دسترسی داشته باشند.

این محقق که رایان پیکرن (Ryan Pickren) نام دارد، پیش از عمومی کردن این حفره امنیتی، ابتدا آن را با اپل در میان گذاشته است. این کمپانی نیز بلافاصه و یک روز بعد از مطلع شدن از این باگ، آن را تایید کرده و پچ مورد نیاز برای برطرف کردن آن را همراه با آپدیت‌های ماه ژانویه و مارس ۲۰۲۰ منتشر کرده است. با این حال تنها کاری که یک فرد برای هک شدن دستگاه‌های خود باید انجام می‌داد، کلیک روی یک لینک آلوده بود.

پیکرن می‌گوید:

مرورگری سافاری کاربران را تشویق می‌کند تا تنظیمات دسترسی مرورگر خود برای سایت‌های مشابه را ذخیره کنند. به همین دلیل یک هکر می‌تواند به کمک زنجیره‌ای از دستور‌ها، یک وب سایت آلوده را به عنوان یک وب سایت شناخته شده برای سافاری جا بزند و بدین ترتیب، کنترل وبکم و میکروفون آن شخص را به دست بگیرد.

این کار به کمک دسترسی‌های مجاز وب سایت شناخته شده صورت می‌گیرد و هکر‌ها به نوعی از این دسترسی‌ها سوءاستفاده می‌کنند. در بدترین حالت، یک هکر می‌تواند محتوای نمایش داده شده برای شما را با دیگران به اشتراک بگذارد.

سافاری

پیکرن این حفره امنیتی را به کمک یک سهل‌انگاری در نحوه مدیریت URL وب سایت‌ها توسط سافاری پیدا کرده است. او توضیح می‌دهد که مرورگر اختصاصی اپل، تمامی آدرس‌های یک سایت را به یک نام شناخته و دسترسی‌های مختلف را بین آن‌ها به اشتراک می‌گذارد. برای مثال وب سایت https://www.example.com، http://example.com و fake://example.com همگی به عنوان یک سایت واحد شناخته می‌شوند.

او موفق شد با کمی تغییر در این سیستم، اسکرپت‌های آلوده‌ای در یک وب سایت جعلی قرار دهد تا با جا زدن آن به عنوان یک وب سایت معتبر و دارای دسترسی‌های لازم، سافاری را دور زده و به وبکم و میکروفون دسترسی پیدا کند. پیکرن می‌گوید «برخی از این کد‌ها از باگ‌های بسیاری قدیمی این مرورگر استفاده کرده که پیش از این چندان خطر آفرین نبوده‌اند، ولی اکنون می‌توان به کمک آن‌ها امنیت کاربران را به خطر انداخت».

سافاری

گفتنی است هیچ کدام از این باگ‌ها جزو سیستم حفاظت سافاری قرار نمی‌گیرند. این سیستم به سایت‌های آلوده اجازه دسترسی به سنسور‌های داخل گوشی را نمی‌دهد، به همین دلیل است که پیکرن توانسته از سد این سیستم حفاظتی عبور کرده و به سنسور‌های دستگاه دسترسی پیدا کند. این باگ تمامی دستگاه‌های کمپانی کوپرتینویی را تحت تاثیر قرار می‌داد و آیفون، آیپد و مک همگی آسیب‌پذیر بودند.

خبر خوب این است که اپل اخیرا برنامه باگ‌زدای از نرم‌افزار‌های خود را گسترش داده تا برنامه‌های بیشتری را تحت پوشش قرار دهد. این برنامه به محققین حوزه امنیت مانند پیکرن، پاداش می‌دهد تا مشکلات امنیتی برنامه‌های مختلف این کمپانی را زودتر کشف کنند. برای این که یک باگ پذیرفته شود، شخص باید اثبات کافی و دلیلی منطقی برای آن ارائه کند و همچنین گام‌های اجرای دوباره آن را در اختیار اپل بگذارد. پیکرن برای پیدا کردن این حفره امنیتی، ۷۵ هزار دلار دریافت کرده است.

مطالب مرتبط

بیش از یک میلیون سایت وردپرسی هدف حمله سایبری قرار گرفتند

صدها هزار سایت وردپرسی بیش از  ۲۴ ساعت مورد حملات سایبری گسترده‌ای قرار گرفتند که هدف از آن‌ها، دسترسی به اعتبارنامه‌های دیتابیس بوده است.مهاجمان در تلاش بودند تا فایل‌های پیکربندی «wp-config.php» را از وب‌سایت‌های وردپرس دانلود کنند. این فایل‌ها شامل اطلاعات مهمی مانند اعتبارنامه‌های دیتابیس، اطلاعات اتصال و احراز هویت کلیدهای منحصر به فرد می‌شود.این... ادامه مطلب

مایکروسافت نصب خودکار مرورگر اج کرومیوم را از طریق ویندوز آپدیت آغاز کرد

مایکروسافت مرورگر اج کرومیوم را از طریق آپدیت‌های ویندوز در دسترس همه کاربران قرار می‌دهد. این مرورگر اواخر دی ماه سال قبل منتشر شد، ولی کاربران باید آن را دانلود می‌کردند. ولی حالا به گفته غول نرم افزاری این مرورگر از طریق بخش ویندوز آپدیت در دسترس بیش از یک میلیون کاربر ویندوز ۱۰ قرار... ادامه مطلب

هکرها اسناد محرمانه پیمانکار نظامی ارتش آمریکا را سرقت کردند

هکرها به سیستم‌های یکی از شرکت‌های طرف قرار داد با ارتش آمریکا نفوذ کرده و احتمالا اسناد محرمانه مربوط به یکی از قوی ترین موشک‌های هسته‌ای این کشور را سرقت کرده‌اند.به گزارش خبرگزاری Sky News، هکرها به سیستم‌های شرکت تعمیراتی و مهندسی Westech International نفوذ کرده‌اند. این شرکت طرف قرارداد نیروی هوایی ارتش آمریکاست و روی... ادامه مطلب

هک وب‌سایت و سیستم رادیویی پلیس مینیاپولیس بدست هکرهای «انانیموس»

چند روز پیش «جورج فلوید» در زمان دستگیری توسط پلیس «مینیاپولیس» جان خود را از دست داد. این واقعه تظاهرات زیادی در ایالات متحده آمریکا در پی داشته و ظاهرا گروه هکری «انانیموس» نیز وب‌سایت و رادیو پلیس این شهر را مورد حمله سایبری قرار داده است.در روزهای اخیر معترضان در شهرهای مختلف ایالات متحده آمریکا... ادامه مطلب

افشای اطلاعات حساس هزاران سایت دارک وب توسط یک هکر ناشناس

داده‌های حساس افشا شده شامل آدرس ایمیل، رمز عبور دامنه و کلیدهای خصوصی دامنه onion. می شود.یک هکر با نفوذ به پرتال «Daniel's Hosting»، بزرگترین ارائه دهنده سرویس میزبانی رایگان از سایت های دارک وب، دیتابیس آن را افشا کرده است. مهاجم نه تنها دیتابیس مذکور را به سرقت برده بلکه اطلاعات ذخیره شده روی سرورها را نیز... ادامه مطلب

آسیب‌پذیری «StrandHogg 2.0» امنیت دستگاه‌های اندرویدی را به خطر می‌اندازد

محققان امنیتی یک آسیب‌پذیری درون تقریبا تمام نسخه‌های سیستم عامل اندروید پیدا کرده‌اند که به بدافزارها اجازه می‌دهد تا از طریق کپی کردن برنامه‌های اصلی به پسورد و سایر اطلاعات حساس دست پیدا کنند.این آسیب‌پذیری که با نام «StrandHogg 2.0» شناخته می‌شود، تمام دستگاه‌های مجهز به اندروید ۹.۰ و نسخه‌های قدیمی‌تر را تحت تاثیر قرار... ادامه مطلب

نظرات ۱

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟