Apple iOS, iPhones पर चलने वाला ऑपरेटिंग सिस्टम, कई नई सुरक्षा भेद्यताओं के लिए असुरक्षित है। यह ध्यान देने योग्य है कि दोषों को उपयोगकर्ता के सहभागिता की आवश्यकता नहीं है। सुरक्षा भेद्यताओं को कथित तौर पर पूरी तरह से निष्पादित किया जा सकता है बिना उपयोगकर्ता को कभी भी किसी भी कार्य को करने की आवश्यकता होती है, किसी भी लिंक पर क्लिक करें, किसी भी ऐप को डाउनलोड करें, आदि संयोग से, यह पहली बार नहीं है जब iOS के अंदर इस तरह की गंभीर खामियों का पता चला है ।
Apple iOS ऑपरेटिंग सिस्टम के अंदर दो नई गंभीर सुरक्षा कमजोरियां आज सामने आई हैं। जाहिरा तौर पर, आईओएस में ये खामियां संभावित रूप से हमलावरों को बिना किसी उपयोगकर्ता कार्रवाई के आईओएस पर चलने वाले आईफोन डिवाइस तक पहुंच प्राप्त करने की अनुमति देती हैं। इससे भी महत्वपूर्ण बात यह है कि दूरस्थ रूप से निष्पादित हमले से रिमोट कोड निष्पादन (आरसीई) भी हो सकता है, जिसमें पीड़ित के iPhone का प्रशासनिक नियंत्रण शामिल हो सकता है। हालांकि अभी तक आधिकारिक तौर पर पुष्टि नहीं की गई है, फिर भी जंगली में नई खोजी गई सुरक्षा कमजोरियों का फायदा उठाया जा रहा है। जाहिरा तौर पर, Apple सुरक्षा दोषों से अवगत है और उम्मीद है कि उसी को पैच करने के लिए एक अपडेट जारी किया जाएगा।
एप्पल आईओएस 6 से ऊपर iPhone डिवाइस कमजोर नई खोज और सक्रिय रूप से शोषण सुरक्षा कमजोरियों के लिए:
Apple iOS ऑपरेटिंग सिस्टम में नई खोजी गई सुरक्षा कमजोरियां एक हमलावर को पीड़ित के डिवाइस को दूरस्थ रूप से हड़ताल करने की अनुमति देती हैं। इसके अलावा, दोषियों को बिना किसी उपयोगकर्ता कार्रवाई के आईओएस डिवाइस तक पहुंच प्राप्त करने की अनुमति मिलती है। अधिकांश हमलों के लिए कुछ उपयोगकर्ता कार्रवाई की आवश्यकता होती है जैसे लिंक पर क्लिक करना, कुछ एप्लिकेशन इंस्टॉल करना, या हमले के लिए एक दस्तावेज़ खोलना शुरू करना। हालांकि, इस मामले में, हमलावर सिर्फ ईमेल भेज सकता है जो महत्वपूर्ण मात्रा में मेमोरी का उपभोग करता है और डिवाइस में रिमोट कोड निष्पादन क्षमताओं को प्राप्त करता है।
दिन-शून्य कमजोरियों और हमलों;
सुरक्षा घटनाएं https://t.co/KAez4d9890
- डॉ। एज़र ओसे येबा-बोटेंग (@DrYeboahBoateng) 22 अप्रैल, 2020
गंभीर है शून्य उपयोगकर्ता सहभागिता के साथ iOS के अंदर सुरक्षा कमजोरियां सुरक्षा फर्म ZecOps द्वारा खोजा गया था। कंपनी के शोधकर्ताओं का दावा है कि हमलावर पहले से ही जंगली में इन कमजोरियों का उपयोग कर रहे हैं। लक्ष्यों की पहचान किए बिना, शोधकर्ताओं ने दावा किया कि नए खोजे गए सुरक्षा दोषों को निम्नलिखित व्यक्तियों को लक्षित करने के लिए सफलतापूर्वक उपयोग किया गया है:
- उत्तरी अमेरिका में एक फॉर्च्यून 500 संगठन के व्यक्ति
- जापान में एक वाहक से एक कार्यकारी
- जर्मनी का एक वीआईपी
- सऊदी अरब और इज़राइल से MSSPs
- यूरोप में एक पत्रकार
- संदिग्ध: एक स्विस उद्यम से एक कार्यकारी
iOS, Apple द्वारा डिजाइन और विकसित एक पूरी तरह से बंद-स्रोत ऑपरेटिंग सिस्टम है। यह कड़ाई से नियंत्रित और विनियमित है। ओएस Google Android की तरह खुला नहीं है। IOS का नवीनतम पुनरावृत्ति iOS 13. है, हालांकि, iOS 6 और इसके बाद के संस्करण में चलने वाले सभी डिवाइस इन सुरक्षा दोषों से प्रभावित होते हैं। कमजोरियों की जांच कर रहे सुरक्षा शोधकर्ताओं ने उन तरीकों पर प्रकाश डाला है जिनसे हमलावर आईफोन चलाने वाले ऐप्पल आईओएस से समझौता कर सकते हैं। हाल के iOS संस्करणों में, नीचे दिए गए तरीकों से हमला किया जा सकता है:
- IOS 13 पर हमला: जब iOS एप्लिकेशन बैकग्राउंड में खुलता है तो iOS 13 पर अनअस्क्राइस्ड (/ जीरो-क्लिक) अटैक करता है
- IOS 12 पर हमला: हमले के लिए ईमेल पर एक क्लिक की आवश्यकता होती है। सामग्री को प्रस्तुत करने से पहले हमले को चालू किया जाएगा। उपयोगकर्ता ने ईमेल में ही कुछ भी नोटिस नहीं किया
- यदि iOS सर्वर हमलावर मेल सर्वर को नियंत्रित करता है तो iOS 12 पर अनअस्पायर्ड अटैक को ट्रिगर किया जा सकता है (उर्फ जीरो-क्लिक)
शोधकर्ताओं ने iOS मेल ऐप में सुरक्षा भेद्यता की एक जोड़ी की खोज की, ऐप्पल एक पैच पर काम कर रहा है https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev
- _ i फ़ोन डॉक्टर Doctor (@Mr_iPhoneDoctor) 22 अप्रैल, 2020
अपकमिंग अपडेट में सुरक्षा पैच करने के लिए Apple:
शोधकर्ताओं का दावा है कि Apple iOS में इन सुरक्षा खामियों से अवगत है। उन्होंने कहा कि Apple को iOS के लिए एक वृद्धिशील अपडेट जारी करने की उम्मीद है जिसमें एक फिक्स शामिल होगा जो कमजोरियों को पैच करेगा। हालांकि, जब तक ऐप्पल एक अपडेट जारी नहीं करता, तब तक लक्षित होने या सुरक्षा बग का शिकार बनने से बचने का एक तरीका है।
IPhone और iPad उपकरणों को प्रभावित करने वाले दो शून्य-दिन की कमजोरियों को साइबरस्पेस स्टार्टअप ZecOps द्वारा चल रहे दूरस्थ हमलों की एक श्रृंखला की खोज के बाद पाया गया, जिन्होंने आईओ को निशाना बनाया ... @BleepinComputer #Security #tech #WednesdayWisdom https://t.co/2lHdxMOmfh
- एजे डर्लिंग (@Gurgling_MrD) 22 अप्रैल, 2020
शोधकर्ताओं ने ऐपल मेल ऐप से पूरी तरह परहेज करने की सलाह दी। यह ईमेलिंग प्लेटफॉर्म है जिसे Apple द्वारा डिज़ाइन, विकसित और रखरखाव किया गया है। संयोग से, मेल ऐप जीमेल, आउटलुक, आदि जैसे तृतीय-पक्ष ईमेल खातों का समर्थन करता है, इसलिए, जब तक ऐप्पल बग को ठीक करने के लिए एक अपडेट जारी नहीं करता है, तब तक उपयोगकर्ता Microsoft आउटलुक ऐप या अन्य समान ईमेल क्लाइंट पर निर्भर कर सकते हैं।
[अपडेट करें] Apple ने कथित तौर पर Apple मेल ऐप के अंदर दो सुरक्षा कमजोरियों को पैच करने के लिए एक अपडेट जारी किया है।
टैग सेबApple ने iOS 13.4.5 बीटा में मेल ऐप को प्रभावित करने वाले दो सुरक्षा कमजोरियों को पैच किया https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs
- मैकहैश (@MacHashNews) 22 अप्रैल, 2020
