اكتشاف ثغرة في آيفون وآيباد سمحت للمتسللين بسرقة البيانات لسنوات
تعتزم شركة آبل إطلاق إصلاح أمني لثغرة قالت شركة أمنية: إنها قد تترك أكثر من نصف مليار هاتف آيفون عرضة للاختراق.
واكتشف الثغرة – التي توجد أيضًا في حواسيب آيباد اللوحية – (زوك أفراهام)، وهو الرئيس التنفيذي لشركة ZenOps للأمن الإلكتروني، أثناء التحقيق في هجوم إلكتروني معقد ضد عميل في أواخر عام 2019. وقال أفراهام: إنه وجد أدلة على استغلال الثغرة فيما لا يقل عن 6 عمليات اختراق للأمن السيبراني.
واعترف متحدث باسم آبل بوجود الثغرة في برنامج آبل للبريد الإلكتروني على أجهزة آيفون، وآيباد، والمعروف باسم (البريد) Mail، وقال: إن الشركة قد طورت إصلاحًا للثغرة سيُطلق في تحديث قادم لملايين الأجهزة التي بيعت في جميع أنحاء العالم.
ورفضت آبل التعليق على بحث أفراهام الذي نُشر اليوم الأربعاء، والذي يشير إلى أن الثغرة يمكن أن تُستغَّل عن بُعد، وأنها قد استُغلَّت بالفعل من قبل المتسللين ضد مستخدمين بارزين. وقال أفراهام: إنه وجد دليلًا على أن برنامجًا ضارًا يستغل الثغرة الأمنية في نظام التشغيل (آي أو إس) منذ شهر كانون الثاني/ يناير 2018. ولم يتمكن من تحديد هوية المتسللين.
ولتنفيذ الاختراق، قال أفراهام: إن رسالة بريد إلكتروني فارغة ستُرسل إلى الضحايا من خلال تطبيق البريد، وبفتحها سيُجبر التطبيق على التعطل وإعادة الضبط. وبتعطل التطبيق يُفتح الباب أمام المتسللين لسرقة بيانات أخرى في الجهاز، مثل الصور، وتفاصيل جهات الاتصال.
وتدعي شركة ZecOps أن الثغرة الأمنية سمحت للمتسللين بسرقة البيانات من أجهزة آيفون عن بُعد حتى إذا كانوا يشغلون الإصدارات الأخيرة من (آي أو إس). ولوحدها، كانت الثغرة تمنح المتسللين الوصول إلى كل ما يمكن لتطبيق البريد الوصول إليه، بما في ذلك الرسائل السرية.
واستند أفراهام في معظم استنتاجاته إلى بيانات من “تقارير الأعطال”، التي تُنشئ عند فشل البرامج في منتصف المهمة على الجهاز. وتمكن بعد ذلك من إعادة إنشاء تقنية يمكنها إحداث حالات تعطل مُتحكم بها.
ووجد باحثان أمنيان مستقلان، راجعا اكتشاف ZecOps، أن الأدلة ذات مصداقية، لكنهما قالا: إنهما لم يعيدا بعد إعادة اكتشاف النتائج بصورة كاملة بسبب ضيق الوقت.
وقال (باتريك واردلي) – خبير الأمن في آبل والباحث السابق لوكالة الأمن القومي الأمريكية: إن الاكتشاف “يؤكد ما كان دائمًا إلى حد ما سرًا خفيًا إلى حد ما: أن الأعداء الذين يتمتعون بموارد جيدة يمكنهم إصابة أجهزة (آي أو إس) المحمية بالكامل عن بُعد وبصمت”.
ونظرًا لأن شركة آبل لم تكن على علم بثغرة البرامج حتى وقت قريب، فقد كان من الممكن أن يكون ذا قيمة كبيرة للحكومات والمقاولين الذين يقدمون خدمات القرصنة. ويمكن أن تبلغ تكلفة استغلال البرامج التي تعمل دون سابق إنذار ضد هاتف حديث أكثر من مليون دولار.
وبينما يُنظر إلى منتجات آبل في صناعة الأمن السيبراني على أنها تتمتع بمعايير عالية للأمن الرقمي، فإن أي تقنية اختراق ناجحة ضد آيفون يمكن أن تؤثر على الملايين بسبب الشعبية العالمية للجهاز. وفي عام 2019، قالت شركة آبل: إن هناك نحو 900 مليون جهاز آيفون قيد الاستخدام النشط.