شرکت اپل، اخیراً بهروزرسانیهای امنیتی جدیدی برای iOS 13 و iPadOS را منتشر کرده و آسیبپذیری را که اجازه میدهد پسوندهای صفحه کلید شخص ثالث بتوانند به سیستم دسترسی کامل داشته باشند، هدف قرار داده است.
اپل در اوایل هفته جاری نشان داد که این مساله، تنها بر روی دستگاههایی تأثیر میگذارد که صفحه کلیدهای شخص ثالث در آنها مجوز دسترسی کامل را درخواست میکنند، اما روی صفحه کلیدهای اپل یا صفحه کلیدهای شخص ثالثی که از دسترسی کامل استفاده نمیکنند، تأثیری نمیگذارد. مجوزهای دسترسی کامل به یک برنامه اجازه میدهد تا منابع را از یک سرور از راه دور، سرقت کند.
در iOS، افزونههای صفحه کلید فرعی همچنین میتوانند به گونهای طراحی شوند که کاملاً مستقل باشند، به این معنی که به خدمات خارجی دسترسی نخواهند داشت.
این نقص امنیتی، که با شناسه CVE-2019-8779 قابل تشخیص است، میتواند به یک برنامه صفحه کلید مخرب اجازه دهد تا اغلب دادههای کاربر را ثبت کرده و اطلاعات را به سرور مهاجم ارسال کند.
با این وجود، خطر سوءاستفاده نسبتاً پایین خواهد بود، زیرا چنین صفحه کلیدی ابتدا باید مراحل تاییدیه اپل را طی کرده و سپس توسط قربانیان بارگیری و نصب شود.
اخیراً، اپل از انتشار iOS 13.1.1 و iPadOS 13.1.1 خبر داد که با اعمال محدودیتهایی در برنامههای کاربردی و شخص ثالث، این مساله را حل میکنند.
این بهروزرسانی که تنها چند روز پس از انتشار iOS 13 وارد بازار شده است، برای آیفون 6 اس به بعد، آیپد مینی 4 به بعد، آیپد ایر 2 به بعد و نسل 7 آیپاد تاچ ارایه میشود.
در اوایل این هفته، اپل بهروزرسانی دیگری در iOS 13 را ارایه داد که دسترسی به مخاطبین را با دسترسی فیزیکی به دستگاه، مستقیماً از طریق صفحه قفل (CVE-2019-8775) میسر کرده است.
بهروزرسانیهای که اخیراً منتشر شده شامل macOS Mojave 10.14.6 ،High Sierra Security 2019-005 و Sierra Security Update 2019-005 بوده و به تصحیح یک آسیبپذیری خارج از محدوده میپردازد که بواسطه این آسیبپذیری، اجرای کد دلخواه توسط مهاجم امکان پذیر میشود.
با انتشار iOS 12.4.2 و watchOS 5.3.2 به همین آسیبپذیری در iOS و watchOS نیز پرداخته شده است.