ثغرة في 87 تطبيقا تهدد بيانات ملايين المستخدمين لنظام iOS

03:25 م | الثلاثاء 07 فبراير 2017

أوضح باحث أمني يُدعى ويل سترافيش، عبر مدونته الشخصية، أن عددًا من التطبيقات المخصصة لنظام iOS، معرضة لثغرة تتيح للقراصنة تنفيذ هجوم من نوع "رجل في المنتصف" MITM، حتى وإن كانت هذه البيانات مؤمنة أو مشفرة، والذي سيعرض بيانات المستخدمين للخطر.

وأفاد "سترافيش" إلى أن التحليل الأولي للبيانات أظهر وجود 76 من التطبيقات الشهيرة لنظام iOS، وتحديدا من التي تعمل على نظام iOS 10، معرضة لثغرة تسمح بهجمات رجل في المنتصف، وإن كانت البيانات فيها يتم تناقلها بشكل مؤمن، ومشفر باستخدام بروتوكول طبقة النقل المؤمنة TSL.

وأضاف أن تلك التطبيقات المعرضة للهجوم، سبق وتم تحميلها نحو 18 مليون مرة على أجهزة آبل الذكية العاملة بنظام iOS 10، والذي يضعها فريسة سهلة للاعتراض أو التلاعب من قبل القراصنة.

وتعمل الثغرة بسبب كود تستخدمه هذه التطبيقات، والذي يسمح بقبول أي شهادة توثيق لإنشاء اتصال مؤمن، ما يسهل للقراصنة خداع هذه التطبيقات واعتراض الاتصال، خاصة وإن كان المستخدم متصل عبر شبكة لاسلكية، كما قال إن الثغرة يصعب استغلالها إذا ما كان المستخدم متصلًا بالإنترنت عبر شبكات الجوال.

وذكر "سترافيش" أن 33 من هذه التطبيقات متأثرة بشكل منخفض من الثغرة التي تسمح بهذه الهجمات، حيث يُمكن للقراصنة الحصول على بيانات حساسة جزئيًا مثل عناوين البريد الإلكتروني، وبعض البيانات التي يتم تسجيلها بشكل غير مؤمن.

ووصلت عدد التطبيقات المتأثرة بشكل متوسط من الثغرة إلى نحو 24 تطبيقًا، والتي يمكن للقراصنة اعتراض عمليات تسجيل الدخول، والحصول على رموز المصادقة لهذه العمليات، ما يعرض حسابات مستخدمي هذه التطبيقات لخطر الاختراق.

وبلغت عدد التطبيقات المتأثرة بشكل عالي الخطورة لهذه الثغرة نحو 19 تطبيقًا، والتي يُمكن للقراصنة من خلالها اعتراض عمليات تسجيل دخول إلى حسابات حساسة مثل الحسابات المالية والبنكية، وحسابات خدمات طبية، كما يستطيع القراصنة الحصول على الرموز الأمنية لمحاكاة عمليات تسجيل الدخول فيما بعد.

وأضاف أن ميزة النقل الأمن للبيانات داخل التطبيقات في نظام iOS، لا تساعد ولا يمكنها التعامل مع أو ضد الهجمات التي تستخدم هذه الثغرة في التطبيقات المصابة.

ونشر الباحث بعضًا من أسماء التطبيقات المتأثرة بشكل منخفض للثغرة، ومنها تطبيقات بنكية مثل تطبيق مصرف الأمان الليبي، وتطبيق برايفت 24 الخاص بـبرايفت بنك الأوكراني، وتطبيقات للمحادثات مثل ooVoo وYeeCall وMico، وتطبيق منصة البث الحي Loops Live.

ومن التطبيقات الأخرى المتأثرة بشكل منخفض للثغرة، تطبيقات الجوائز CashApp، وFreeMyApps وGiftSaga، وتطبيق التعديل على الفيديو VivaVideo، وتطبيقي بث الموسيقى Volify وMusic tube، بجانب تطبيق كتب الأطفال Epic!، وتطبيق التخزين السحابي Tencent Cloud، وتطبيق متصفح الإنترنت Cheetah.

وتؤثر الثغرة كذلك بشكل منخفض على تطبيقات مثل VICE News للأخبار، وتطبيق منصة تداول الفوركس Trading 212، وتطبيق منصة الرهانات AutoLotto، وتطبيقي الشبكات الخاصة الافتراضي Private Browser وvpn Free-OvpnSpide، بجانب تطبيق التحكم بكاميرات المراقبة Foscam وتطبيق قراءة رموز QR التابع لشركة ScanLife والمتاح تحت اسم Code Scanner.

وتسبب الثغرة في التأثير على عدة تطبيقات أخرى تستهدف مستخدمي سناب شات، ما يسمح بالحصول على المعلومات الخاص بحسابات هؤلاء المستخدمين.

ويتأثر مستخدمي مواقع إنترنت، ومنها شبكات تواصل اجتماعية، من بعض التطبيقات المصابة بالثغرة، وهيّ تطبيق Uconnect Access الذي قد يعرض حساب مستخدميه على خدمة راديو الإنترنت "بانادورا" للاختراق، وتطبيق InstaRepost عند استخدامه مع حسابات إنستجرام.

ووضع سترافيش فترة تمتد بين شهرين إلى ثلاثة شهور للسماح لمطوري التطبيقات التي تتأثر بشكل متوسط أو عالي الخطورة بالثغرة، بإصدار تحديثات أمنية تحمي المستخدمين قبل أن يعلن عن أسماء هذه التطبيقات، وقال إن الثغرة معقدة، ولا يمكن حلها من قبل المستخدمين أو من شركة آبل، وأن المطورين فقط من يستطيعون علاجها وسدها نهائيًا.