باگ اپلیکیشن iMessage به هکر‌ها اجازه می‌دهد تا اطلاعات کاربران را به سرقت ببرند

در کنفرانس امنیتی Black Hat در لاس وگاس، ناتالی سیلوانوویچ (Natalie Silvanovich) محقق Google Project Zero، به اشکالاتی در اپلیکیشن iMessage سیستم‌عامل iOS، اشاره کرد. حفره‌هایی که می‌توانند جهت به‌دست‌آوردن کنترل دستگاه کاربران، مورد سوءاستفاده قرار گیرند.

اپل چند بهینه‌ساز را جهت حذف این باگ‌ها منتشر کرده اما تاکنون تمامی آن‌ها را رفع نکرده است. سیلوانوویچ گفت:

این نقص‌ها را می‌توان در قالب باگ‌هایی که کد اجرا می‌کنند، دسته‌بندی کرد. در نهایت، می‌توان از این حفره‌ها جهت مواردی مانند دسترسی به داده‌های کاربران، استفاده کرد. بنابراین بدترین سناریو این است که از این باگ‌ها، جهت آسیب رساندن به کاربران، استفاده شود.

سیلانوویچ با ساموئل گروس (Samuel Groß)، عضو Project Zero همکاری کرده تا بررسی نماید که آیا سایر ابزارهای پیام‌رسانی از قبیل: SMS ،MMS و همچنین پست صوتی و تصویری به خطر افتاده‌اند؟ وی پس از مهندسی معکوس این حفره‌ها، چندین باگ قابل سوءاستفاده، در اپلیکیشن iMessage را کشف کرد.

تصور می‌شود که دلیل این نقص‌ها، این باشد که iMessage طیف وسیعی از قابلیت‌ها و ویژگی‌های ارتباطی را ارائه می‌دهد و همین باعث می‌شود تا چنین اشتباهات و ضعف‌هایی محتمل‌تر شوند. به‌عنوان مثال: Animojis، ارائه عکس و فیلم و همچنین همگام‌شدن با سایر برنامه‌ها از قبیل: Apple Pay ،iTunes ،Airbnb و غیره، از جمله قابلیت‌های iMessage به شمار می‌روند.

یکی از اشکالات برجسته، باعث شد تا هکرها بتوانند اطلاعات مورد‌نظر خود را از پیام‌های یک کاربر، استخراج نمایند. به عنوان نمونه: این اشکال به مهاجمان امکان می‌دهد تا پیام‌های خاصی را به قربانی ارسال کنند و سپس پیام‌های کوتاه یا تصاویر کاربر موردنظر را دریافت نمایند.

اگرچه در iOS از محافظ‌هایی استفاده می‌شود تا حملات هکرها را مسدود کنند اما این باگ، از منطق اساسی این سیستم‌عامل بهره می‌برد، بنابراین سیستم امنیتی iOS این اشکال را به عنوان یک فعالیت امن، تفسیر می‌کند.

از آنجا که این باگ‌ها نیازی به اقدامی از طرف قربانی ندارند، بنابراین مورد حمایت فروشندگان و هکرهای بین‌المللی قرار می‌گیرند. سیلانوویچ پی برده است که چنین باگ‌هایی در بازار سیاه، ارزشی بالغ‌ بر ده‌ها میلیون دلار دارند. وی ادامه داد:

اشکالاتی از این دست، مدت‌ها است که از دید عموم پنهان مانده‌اند. حملات سایبری زیادی نسبت به برنامه‌هایی مانند iMessage صورت می‌گیرد. از دیدگاه منطقی، رفع اشکالات جزئی بسیار آسان است اما شما هیچ‌وقت نمی‌توانید تمام این نواقص را در یک نرم‌افزار مشخص پیدا کنید، بنابراین هر کتابخانه‌ای (library) که استفاده می‌کنید، می تواند تبدیل به طعمه هکرها شود. با این اوصاف، حل چنین مشکلی نسبتاً دشوار است.

سیلانوویچ در سیستم‌عامل موبایلی اندروید، نتوانست چنین باگ‌هایی را پیدا کند. وی همچنین در اپلیکیشن‌های WhatsApp ،Facetime و پروتکل کنفرانس ویدیوی webRTC، توانست چندین حفره‌ مشابه را پیدا نماید. او در ادامه گفت:

شاید عصر حاضر، زمانی باشد که در آن امنیت وجود نخواهد داشت. توجه زیادی به روش‌های امنیتی از قبیل رمزنگاری می‌شود، اما اگر برنامه شما در مراحل پایانی خود حفره‌هایی داشته باشد، حتی یک رمزنگاری خوب نمی‌تواند کمبود امنیت آن را برطرف سازد.

سیلانوویچ توصیه می‌کند که سیستم‌عامل و برنامه‌های گوشی خود را به‌روز نگه دارید، زیرا اپل اخیراً تمامی اشکالات iMessage را که توسط این محقق کشف شده بود، در iOS 12.4 و macOS 10.14.6 رفع کرده است.