Masque Attack؛ ضعف امنیتی جدید در iPhone
یک نقطه ضعف جدید در دستگاه های iPhone و iPad کشف و شناسایی شده که امکان نصب نرم افزارهای جعلی را به جای نرم افزارهای اصلی بر روی این دستگاه ها فراهم می آورد.
شرکت امنیتی FireEye که این ضعف را کشف کرده، نام Masque Attack به آن داده و معتقد است حملات نفوذی که از این طریق می توانند صورت گیرند، انبوهی از اطلاعات و مشخصات شخصی کاربران را در اختیار نفوذگران قرار می دهند.
با سوء استفاده از این ضعف در سیستم عامل Apple iOS می توان کاربر را فریب داده و با کسب مجوز از او، اقدام به نصب نرم افزار جعلی به جای نرم افزارهای اصلی و موجود بر روی دستگاه iPhone یا iPad کرد.
در نمونه ای که توسط شرکت FireEye نمایش داده شده است، کاربر به تصور اینکه مجوز نصب نسخه جدید یک بازی کامپیوتری را می دهد، در واقعیت اجازه نصب نسخه جعلی و دستکاری شده ای از نرم افزار Gmail را به جای نرم افزار اصلی می دهد. نرم افزار جعلی Gmail کاملاً مشابه نسخه اصلی و واقعی است و کاربر قادر به تشخیص نسخه جعلی نخواهد بود. این نرم افزار جعلی به محض اجرا شدن، اقدام به ارسال کل صندوق پستی کاربر به یک سرور خاص می کند.
همچنین این نرم افزار جعلی Gmail قادر است پیامک (SMS)های کاربر را نیز شنود کند. این امکان از این بابت خطرناک است که امروزه برای فعالسازی بسیاری از سرویس های اینترنتی و یا تغییر رمزهای عبور سایت ها، ایمیل و یا پیامک های تائید از طرف سایت به کاربر جهت تائید نهایی ارسال می شود.
این ضعف در نسخه های 7.1.1، 7.1.2، 8.0 و 8.1 سیستم عامل Apple iOS وجود دارد. در این نسخه ها، معتبر بودن شناسه Bundle Identifier (یک شماره منخصربفرد که برای شناسایی هر نرم افزار کاربردی به آن داده می شود) کنترل نمی شود. لذا هر نرم افزار جعلی که شناسه یکی از نرم افازرهای واقعی را نشان دهد، توسط سیستم عامل iOS اجازه نصب خواهد داشت.
نرم افزارهایی که بطور پیش فرض بر روی دستگاه های iPhone و iPad نصب هستند، از حملات Masque Attack در امان می باشند.
کاربران در صورت مشاهده پیام هشدار Developer is not trusted در هنگام نصب نرم افزار، حتما گزینه Don’t Trust را انتخاب کرده و از ادامه نصب نرم افزار خودداری کنند.
کاربران همیشه از سایت رسمی شرکت Apple به نام App Store اقدام به دریافت و نصب نرم افزارهای کاربردی کنند و از مراجعه به سایت های ثالث و ناشناخته خودداری نمایند.