ثغرة في عدد من تطبيقات "آي فون" تهدد بيانات ملايين المستخدمين
ثغرة في عدد من تطبيقات "آي فون" تهدد بيانات ملايين المستخدمين
- أجهزة آبل
- بيانات المستخدمين
- تصفح الإنترنت
- خدمات طبية
- سناب شات
- شبكات تواصل اجتماعي
- شبكة لاسلكية
- آب ستور
- أجهزة آبل
- بيانات المستخدمين
- تصفح الإنترنت
- خدمات طبية
- سناب شات
- شبكات تواصل اجتماعي
- شبكة لاسلكية
- آب ستور
كشف باحث أمني أن عددا كبيرا من التطبيقات المخصصة لنظام "آي أو إس" iOS، والمتاحة عبر متجر "آب ستور"، معرضة لثغرة تتيح للقراصنة تنفيذ هجوم من نوع "رجل في المنتصف" MITM، ما يعرض بيانات المستخدمين للخطر.
وأضاف ويل سترافيش، عبر مدونته الشخصية، أنه وأثناء تحليل الشفرة البرمجية الخاصة بعدد من التطبيقات المتاحة على متجر "آبل آب ستور" وجد أن مئات منها معرضة لعلميات الاعتراض الصامت للبيانات من قبل القراصنة، حتى وإن كانت هذه البيانات مؤمنة أو مشفرة.
وأشار سترافيش إلى أن التحليل الأولى للبيانات أظهر وجود 76 من التطبيقات الشهيرة لنظام iOS، وتحديدا من التي تعمل على نظام iOS 10، معرضة لثغرة تسمح بهجمات رجل في المنتصف، حتى وإن كانت البيانات فيها يتم تناقلها بشكل مؤمن ومشفر باستخدام بروتوكول طبقة النقل المؤمنة TSL، مضيفا أن تلك التطبيقات المعرضة للهجوم تم تحميلها نحو 18 مليون مرة على أجهزة آبل الذكية العاملة بنظام iOS 10، ما يضع بيانات الملايين من المستخدمين عرضة للاعتراض أو التلاعب من قبل القراصنة.
وتعمل الثغرة بسبب كود تستخدمه هذه التطبيقات يسمح بقبول أي شهادة توثيق لإنشاء اتصال مؤمن، ما يسهل للقراصنة خداع هذه التطبيقات واعتراض الاتصال، خاصة وإن كان المستخدم متصلا عبر شبكة لاسلكية، حيث شدد سترافيش على أن الثغرة يصعب استغلالها إذا ما كان المستخدم متصلا بالإنترنت عبر شبكات الجوال، وأكد سترافيش أن 33 من هذه التطبيقات متأثرة بشكل منخفض من الثغرة التي تسمح بهذه الهجمات، حيث يُمكن للقراصنة الحصول على بيانات حساسة جزئيا مثل عناوين البريد الإلكتروني، وبعض البيانات التي يتم تسجيلها بشكل غير مؤمن.
فيما بلغ عدد التطبيقات المتأثرة بشكل عالي الخطورة لهذه الثغرة نحو 19 تطبيقا، حيث يُمكن للقراصنة اعتراض عمليات تسجيل دخول إلى حسابات حساسة مثل الحسابات المالية والبنكية، وحسابات خدمات طبية، كما يستطيع القراصنة الحصول على الرموز الأمنية لمحاكاة عمليات تسجيل الدخول فيما بعد، ونشر الباحث الأمني أسماء مجموعة من التطبيقات المتأثرة بشكل منخفض للثغرة، ومنها تطبيقات بنكية مثل تطبيق مصرف الأمان الليبي، وتطبيق فرع فيرست بنك في بورتريكو، وتطبيق برايفت 24 الخاص بـبرايفت بنك الأوكراني، وتطبيقات للمحادثات مثل ooVoo وYeeCall وMico، وتطبيق منصة البث الحي Loops Live.
ومن التطبيقات الأخرى المتأثرة بشكل منخفض للثغرة، تطبيقات الجوائز CashApp، وFreeMyApps وGiftSaga، وتطبيق التعديل على الفيديو VivaVideo، وتطبيقي بث الموسيقى Volify وMusic tube، بجانب تطبيق كتب الأطفال Epic!، وتطبيق التخزين السحابي Tencent Cloud، وتطبيق متصفح الإنترنت Cheetah، حيث تؤثر الثغرة كذلك بشكل منخفض على تطبيقات مثل VICE News للأخبار، وتطبيق منصة تداول الفوركس Trading 212، وتطبيق منصة الرهانات AutoLotto، وتطبيقي الشبكات الخاصة الافتراضي Private Browser وvpn Free-OvpnSpide، بجانب تطبيق التحكم بكاميرات المراقبة Foscam وتطبيق قراءة رموز QR التابع لشركة ScanLife والمتاح تحت اسم Code Scanner.
وتسببت الثغرة في التأثير على تطبيقات عدة أخرى تستهدف مستخدمي "سناب شات"، ما يسمح بالحصول على المعلومات الخاص بحسابات هؤلاء المستخدمين، وهي تطبيقات Friends for Snapchat 1000 وUploader for Snapchat وSafe Up for Snapchat وUploader Free for Snapchat وSnap Upload for Snapchat.
ويتأثر مستخدمو مواقع إنترنت، ومنها شبكات تواصل اجتماعية، من بعض التطبيقات المصابة بالثغرة، والتي كشف عنها سترافيش، ومنها تطبيق Uconnect Access الذي قد يعرض حساب مستخدميه على خدمة راديو الإنترنت "بانادورا" للاختراق، وتطبيق InstaRepost عند استخدامه مع حسابات إنستجرام، وذلك بحسب "البوابة العربية لأخبار التقنية".
