وجد iPhone ثغرة في LPM
Miscellanea / / May 17, 2022
من غير المحتمل أن يتم إغلاقه ، لكن معظم المستخدمين ليس لديهم ما يدعو للقلق.
باحثون من جامعة دارمشتات التقنية (ألمانيا) اكتشفEvil Never Sleeps: عند استمرار تشغيل البرامج الضارة اللاسلكية بعد إيقاف تشغيل أجهزة iPhone [PDF] ثغرة أمنية في عملية وضع الطاقة المنخفضة (LPM) على iPhone. من المحتمل أن يشكل خطرًا أمنيًا خطيرًا ، مما يسمح للمهاجمين بتشغيل برامج ضارة حتى على الأجهزة التي تم إيقاف تشغيلها.
لاحظ المؤلفون أنه لا ينبغي الخلط بين LPM ، وهو موضوع هذه الدراسة ، وبين وضع الطاقة المنخفضة لنظام iOS ، والذي يستخدم للحفاظ على طاقة البطارية.
ظهر وضع LPM في iOS 15. يتم تنشيطه عند إيقاف تشغيل الهاتف الذكي - يدويًا بواسطة المستخدم وتلقائيًا بسبب انخفاض البطارية. على الرغم من أن الجهاز يبدو متوقفًا تمامًا ، إلا أن LPM يستمر في توفير NFC و Ultra WideBand و Bluetooth لمدة 24 ساعة.
يضمن ذلك استمرار Find My iPhone ومفاتيح السيارة الرقمية وبطاقات السفر في العمل حتى بعد نفاد بطارية جهازك.
يعتقد الباحثون أن هذه الميزة تخلق نموذجًا جديدًا للتهديد. نظرًا لتطبيق دعم LPM في الأجهزة ، فلا يمكن إزالته عن طريق تغيير مكونات البرنامج. نتيجة لذلك ، لا يمكن إيقاف تشغيل جميع الوحدات مع الهاتف الذكي.
وفقًا للمؤلفين ، فإن البرامج الثابتة للبلوتوث ليست موقعة ولا مشفرة ، مما سيسمح للمهاجم بإنشاء برامج ضارة قادرة على العمل على شريحة Bluetooth الخاصة بـ iPhone حتى عند إيقاف تشغيل الجهاز - على سبيل المثال ، لتتبع موقعه ومشاركته مع جهات خارجية الأشخاص.
ومع ذلك ، من الناحية العملية ، يعد استخدام هذا الاستغلال مهمة صعبة للغاية وتستغرق وقتًا طويلاً. سيتعين على المهاجم الوصول الفعلي إلى الهاتف الذكي ، واختراقه ، وكسر حماية iPhone ، وعندها فقط يمكنه الوصول إلى شريحة Bluetooth واستخدامها.
بمعنى آخر ، على الرغم من أن الميزة تعمل على تحسين أمان معظم المستخدمين من خلال السماح لهم بالعثور على هاتف ذكي مفقود أو مسروق بمجرد إيقاف تشغيله ، من المحتمل أيضًا أن يعرض المستخدمين الذين قد يتعرضون للاستهداف للخطر هجوم.
أبلغ الباحثون شركة Apple باكتشافهم ، لكن في وقت نشر التقرير ، لم يتلقوا ردًا من الشركة.
اقرأ أيضا🧐
- وجد iPhone ثغرة تسمح لك بمحاكاة إعادة التشغيل والتجسس على المستخدمين
- تعرض الثغرة الأمنية في Safari سجل المتصفح وأسماء مستخدمي Google