مستخدمو “آبل” الآن عرضة لعدد كبير من هجمات الاحتيال، بعد اكتشاف ثغرات في أنظمة وخوادم الشركة تتعلق بخدمات Family Sharing لمشاركة البيانات مع أفراد العائلة، وFind my الخاصة بتسهيل تتبع أماكن الأجهزة، بحسب سيف الله بن مسعود، باحث أمني تونسي.
وقال بن مسعود، إنه أبلغ الشركة بتلك الثغرات في نوفمبر الماضي، محذرًا من أن المهاجم يمكن من خلالها تخطي الجدار الناري للحماية الخاص بأنظمة الشركة.
وحصل الباحث التونسي، على موافقة الشركة الأميركية لمشاركة تفاصيل الثغرات، بعد التأكد من إتمامها لعمليات البحث والتقصي حولها، وتطوير حلول برمجية لسدها، بحسب تصريحاته لـ”الشرق”.
تطبيق Find my
أوضح بن مسعود، أنه اكتشف ثغرة في تطبيق Find my، تسهل اختراقه وسحب كل بيانات الموقع الجغرافي الخاصة بالأجهزة المختلفة المخزنة داخله، ما يتيح للمخترق الوصول غير المصرح به إلى مواقع أجهزة المستخدمين، بشكل يعتبر انتهاكاً صريحاً للخصوصية، مضيفاً أنه استخدم أسلوب الهندسة العكسية للتطبيق للوصول إلى هذا الخلل.
وقال الباحث التونسي إن مجموعة كبيرة من الثغرات المكتشفة تسمح بتعريض المستخدمين لعدد كبير من هجمات الاحتيال، مشيراً إلى أن المخاطر الخاصة بها مرتبطة بطريقة إدارة “آبل” للنطاقات المختلفة التابعة لأسماء مواقعها الإلكترونية الرئيسية.
وتابع: أوجه الخلل التي اكتشفتها تمنح المهاجم القدرة على اكتساب العديد من الصلاحيات الخاصة بالبيانات المخزنة على خوادم أبل، والمرتبطة بعناوين مواقعها الرئيسية.
خدمة Family Sharing
وتتمثل ثغرة خدمة “Family Sharing”، في أن تُمكن المخترق من التعرف على البريد الإلكتروني للشخص الرئيسي المسؤول عن تنظيم إدارة الخدمة لعائلته، ما يتيح إرسال دعوة لبريد المقرصن، ثم قرصنة الاشتراكات والمشتريات والصور والبطاقات البنكية وغيرها من بيانات يتم مشاركتها بين أفراد العائلة داخل مجموعتهم على خدمة “فاميلي شير”.
وتسهل الخدمة على أفراد العائلة الواحدة، بحد أقصى 5 أفراد، مشاركة الوصول إلى خدمات “آبل” المختلفة ومشتريات “iTunes” و”Apple Books” و”App Store”، وتخزين ألبوم صور العائلة، والمساعدة في تحديد موقع أجهزتهم المفقودة.
ثغرات متنوعة
وتابع أن الثغرات تنوعت بين SQLinjection التي يستغلها المهاجم في الوصول لقواعد البيانات لنطاقين فرعيين تابعين لشركة “آبل”، وبيانات تخص مستخدمين يمكن للمهاجمين تسريبها وبيعها على الإنترنت، كما يمكن للمهاجم تعديل هذه البيانات أو حذفها، مما يتسبب في تغييرات مستمرة في محتوى النطاقين الفرعيين.
ونوه قائلًا: هناك نوع آخر من ثغرات نطاقات أبل، يعتمد على قيام المخترق بتصميم صفحات مزيفة مطابقة للتصميم الرسمي، بحيث يمكنه إقناع المستخدمين بالنقر على أحد النطاقات، دون شك منهم، لأن النطاق الفرعي للرابط سيكون تابعاً بالفعل للشركة.
وأردف: عندما ينقر المستخدم على أحد النطاقين سيفتح النطاق على متصفح سفاري للويب، ليحدث إختراق الجهاز على الفور، سواء كان iPhone أو iPad، لأن المخترق سيستغل ثغرة تتيح له تنفيذ هجوم من دون إثارة أي شك لدى المستخدم.
وأشار بن مسعود إلى أن ثغرتين من الثغرات التي تهدد 386 نطاقاً فرعياً لموقع iCloud من نوع “الثغرات الصفرية” Zeroday التي لا تعلم الشركة أو المجتمع الأمني المعلوماتي بها، مما يجعلها أداة قوية للمخترقين يستخدمونها لشن هجمات خطيرة.
اختراق أنظمة الشركة
وأكد الباحث التونسي أن أنظمة بيانات “آبل” الداخلية لم تسلم من الثغرات الأمنية، مشدداً على أنه أبلغ أبل بوجود ثغرات في خوادمها تسمح للمهاجم بتخطي الجدار الناري للحماية الخاص بأنظمة الشركة، ومن ثم يمكنه الوصول إلى بيانات الشركة، وإجراء عمليات غير مصرح بها.
وقال بن مسعود: اكتشفت ثغرة تصيب 3 نطاقات فرعية تابعة لآبل، تسمح للمخترق بحذف عنوان البريد الإلكتروني الخاص بالضحية من كافة القوائم البريدية للشركة، بحيث لا تصله أي رسائل منها، كما تتيح له التلاعب بإعدادات اشتراكات الضحية المختلفة في خدمات الشركة”.
وأشار بن مسعود إلى أنه توصل للأكواد المصدرية الخاصة بمنتجات الشركة، عبر النفاذ إلى خوادمها التي لا يجب أن تكون متاحة للعامة.
