Lajme

Aplikacioni për email i iPhone, I lehtë për t’u hakeruar

Hakerët kanë mundur të kenë askes tek celularët Iphone përmes një difekti sigurie në aplikacionin e email-it të Apple që akoma nuk është rregulluar, sipas një firme kërkimi kibernetike.

ZecOps nisi të zhvillonte kërkime pasi gjeti rreshta kodi të dyshimta në Iphone që i përkisnin një klienti. Klientët e ZecOps, një firme dy-vjeçare me zyra në San Francisco, i ka instruktuar punonjësit e saj që të lidhin Iphonët e tyre me një kompjuter që i ngarkon të dhënat e aktivitetit të përdoruesit  me një server qëndror në të cilin mund të analizohen aktivitetet e dyshimta.

Zuk Avraham drejtuesi ekzekutiv dhe bashkëthemeluesi i ZecOps

Zuk Avraham drejtuesi ekzekutiv dhe bashkëthemeluesi i ZecOps, u shpreh se kodi “binte në sy” sepse nuk gjëndeshe tek Iphone-t e tjerë. Avraham dhe të tjerët në kompani e investiguan atë rresht kodi për muaj dhe eventualisht zbuluan se ishte i lidhur me nje difekt të mëparshëm të panjohur sigurie në aplikacionin e e-mail-it të Apple. Kompania e njoftoi Apple për problemin dhe kjo e fundit ka nisur ta rregullojë problemin.

Në një deklaratë me email zëdhënësi i Apple Todd Wilder u shpreh se difekti i sigurisë që ZecOps zbuloi, “nuk përbën risk imediat për përdoruesit tanë” dhe do të adresohet në një softuer të përditësuar së shpejti. Ai nuk tha se kur rregullimi i difektit do të kryhej. Ai u shpreh se vulnerabilitetet në aplikacionin e email-it, më vete, nuk janë të mjaftueshme për të kaluar sigurinë e mbrojtjes tek Iphone-t dhe Ipad-ët. Gjithashtu kompania gjer më tani nuk ka gjetur evidenca se këto difekte janë shfrytëzuar për keq nga të tjerë. Sidoqoftë një difekt i vetëm si ky i aplikacionit të email-t rrallë është i mjaftueshëm për të të mundësuar kontrrollin e Iphone-it. Hakerët shpesh i përdorin këto difekte, siç ZecOps gjetën në aplikacionin e email-it, së bashku me vulnerabilitete të tjera për të mundësuar hakimin e celularëve Iphone.

Zbulimi i defektit i mëshon akoma e më shumë një problem që sa vjen e po vihet në dukje gjatë këtyre muajve. Marketingu i Apple pretendon se Iphone-t janë më mirë të siguruar se kompetitorët e veçanërisht sistemi i operimit i tyre i quajtur iOS por që po rezulton në të vërtetë të jetë vulnerabël ndaj sulmeve të sofistikuar si ai që i ndodhi drejtuesit ekzekutiv dhe themeluesit të Amazon vitin e kaluar.

Siç dyshohet se i ndodhi sulmi në Iphonë zotit Bezos, hakerët në ZecOps shprehen se ky lloj sulmi përmes këtij difekti kategorizohet ose quhet sulmi zero klik (në terminologjinë angleze zero click attack). Teksa sulmet më pak të sofistikuara kanë nevojë për viktimën që të klikojë zakonisht në një email apo mesazh, sulmi “zero klik” nuk ka nevojë për pjesëmarrjen e viktimës që të kryhet. Në këtë rast keqdashësit mund të çojnë një email drejt viktimës me përmbajtje të kodit të keq. Më pas ky kod sapo mbërrin në celularin e individit të shënjestruar nis një reaksion zinxhir të quajtur “zinxhiri i shfrytëzueshëm” (në terminologjinë angleze exploit chain) i cili rrëzon nivelete e sigurisë njëri pas tjetrit, duke fshirë njëkohësisht gjurmët e tij e si përfundim duke e bërë këtë sulm thuajse të pamundur për t’u zbuluar.

Avraham refuzoi të përmendë emrat e klientëve që ai beson se janë shënjestruar, por në një postim blogu të enjten pohoi se në këtë shënjestrim përfshihej një kompani, pjesë e Fortune 500 në amerikën e veriut, një gazetar në Europë, një drejtues ekzekutiv në Japoni si dhe të tjerë.

ZecOps akoma nuk e ka idenë se kush mund të jetë pas këtij sulmi që ka ndikuar klientët e tij, por Avraham shprehet për një intervistë se ai beson se sulmet janë zhvilluar nga një komb (apo shtet) ose nga një entitet me kapacitete të larta financiare.

Apple e bën të vështirë për kërkuesit e sigurisë që të gjejnë difekte në Iphone dhe kjo zvogëlon numrin e idividëve që janë të aftë për të aksesuar në sistemin e operimit e për rrjedhojë rrit vlerën e difekteve të cilat më pas i’u shiten në tregun e zi blerësve më të fuqishëm. Blerësit mund të jenë shtete ose kompani të fuqishme që financojnë entitete hakerësh për të sulmuar IPhone-t e konkurentëve të tyre. Sapo sulmi përmes defektit të sigurisë kryhet me sukses, siguria e kyçur (pra private) e Apple e bën të vështirë për viktimën që t’a dijë se është hakuar.

Privatësia e iOS-it (shpjegim: sistemet iOS ndryshe nga sistemet Android quhen sisteme të kyçura apo të mbyllura pikërisht pasi nuk i’u lejojnë palëve të treta, si programuesve të zakonshëm që jo detyrimisht janë të punësuar nga Apple, të kenë akses e të mund të kontribuojnë në përmirësimin e sistemit të operimit) e bën punën për kompanitë si ZecOps ekstremisht të vështirë. Edhe me aftësinë për të skanuar historikun e regjistrimeve apo aktiviteteve që klienti ka bërë në Iphone, kompanisë shpesh i duhet të flasë në teori nëse ka pasur një sulm që ka kompromentuar sigurinë e celularit Iphone. Kjo është ajo çka e bën këtë zbulim të fundit (pra të defektit në kod në aplikacionin e e-mail-it të Iphone) kaq të rrallë. Kompanisë, shkurtimisht, i’u desh që përmes reverse-engineering (reverse-engineering është një metodikë e thelluar përmes së cilës dikush ekzaminon secilin komponent të programit e tërësinë e tij për të kuptuar se si funksionon secila pjesë e kodit apo strukturës bazë që bën të mundur operimin) të identifikonte aktivitetin e dyshimtë dhe t’a përdorte atë për të zbuluar një defekt të panjohur sigurie.

Hakimi ngren pyetje nëse përodruesit e Iphone duhet që t’a përdorin aplikacionin e emailit që vjen automatikisht i instaluar me Iphone-in apo nëse heqja e tij do të shkaktojë sfida në të ardhmen. Edhe nëse përdoruesi i Apple e fshin këtë aplikacion ai përsëri nuk e ka aftësinë për t’a ndryshuar në opsionet e celularit që ta bëjë një aplikacion tjetër si psh ai i kompetitorëve Microsoft Outlook të parazgjedhur (apo ndryshe kryesor, në terminologjinë angleze përmendet me termin deafult). Fshirja e aplikacionit mund të çojë në humbjen e një apo disa funksionaliteteve. Përshëmbull klikimi në një link të email-it nuk mund të funksionojë më dhe përdoruesit përshëndeten nga një mesazh i Apple i cili i’u kërkon atyre të rishkarkojnë aplikacionin zyrtar të email-it të Iphone-it.

Burimi: Washington Post

Më Shumë