سطح بندی مطلب:
متوسط
نقص امنیتی بخش بازیابی رمزعبور اپل چه بوده است؟
هفته گذشته وب سایت ورج نوعی نقص امنیتی را کشف کرد که به کاربران خرابکار اجازه می دهد رمزهای عبور اپل را به راحتی و فقط با داشتن ایمیل و تاریخ تولد کاربر تغییر دهند. خوشبختانه این روند به بیرون درز پیدا نکرد و خیلی سریع برطرف شد. اما اکنون iMore همه مراحل هک را مرحله به مرحله بازسازی کرده و نشان داده است که همه چیز چگونه کار می کنند.
به طور عادی، روند تغییر رمزعبور 6 مرحله دارد:
  • نام کاربری اکانت اپلی خود را در iforgot.apple.com تایپ کنید تا فرآیند آغاز شود.
  • روش تایید را انتخاب کنید – معمولا پاسخ به سوال امنیتی یکی از رایج ترین موارد است.
  • تاریخ تولد خود را وارد کنید.
  • به دو سوال امنیتی پاسخ دهید.
  • رمزعبور جدید را وارد کنید.
  • به صفحه ای می روید که به شما می گوید رمزعبورتان تغییر کرده است.

اتفاقی که در چنین فرآیندهایی رخ می دهد این است که هر مرحله فقط زمانی انجام می شود که مراحل قبلی به طور کامل و دقیق تکمیل شده باشند. حفره امنیتی پیش آمده به دلیل عدم اجرای مناسب همین مساله به هنگام عملیات تغییر رمزعبور در سیستم های اپل صورت گرفته بود. پس از اینکه مرحله چهارم به طور کامل به پایان برسد، یک URL یا آدرس اینترنتی پیچیده همچون مورد زیر تولید می شود:
نقص امنیتی بخش بازیابی رمزعبور اپل چه بوده است؟
و از آنجایی که فرض بر این است که این آدرس پس از پاسخ دادن به دو سوال امنیتی ساخته شود، آنها هر دو می توانند با ریست کردن رمزعبور مورد هک قرار بگیرند، اطلاعات را جمع آوری و آن را برای اکانت کاربر دیگری تنظیم و ارسال کنند. در نتیجه هکرها این فرصت را دارند تا از مرحله سه به مرحله 5 بروند. یعنی نیازی به پاسخ دادن به سوال های امنیتی ندارند.
حفره امنیتی حل شده است و وصله های رفع آن هم عرضه شده اند. و البته تا کنون مدرکی دال بر انجام چنین حمله ای وجود ندارد. اگر تاکنون از تایید دو مرحله ای استفاده نمی کردید و دلیل قانع کننده ای برای این منظور می خواستید، این هم دلیل.
نقص امنیتی بخش بازیابی رمزعبور اپل چه بوده است؟


ادامه مطلب


Similar Threads: