باحث تونسي يكتشف ثغرات أمنية في خدمات "أبل"

قال سيف الله بن مسعود، باحث أمني تونسي، إنه اكتشف ثغرات في أنظمة وخوادم شركة "أبل"، تتعلق بخدمات Family Sharing لمشاركة البيانات مع أفراد العائلة، وFind my الخاصة بتسهيل تتبع أماكن الأجهزة، مؤكداً أنه أبلغ الشركة بها في نوفمبر الماضي.

وأضاف بن مسعود، في تصريحات لـ"الشرق" أن مجموعة كبيرة من الثغرات التي اكتشفها تسمح بتعريض المستخدمين لعدد كبير من هجمات الاحتيال، لافتاً إلى أنه وجد ثغرات في خوادم "أبل" يستطيع المهاجم من خلالها تخطي الجدار الناري للحماية الخاص بأنظمة الشركة.

وأوضح أنه حصل على موافقة الشركة الأميركية لمشاركة تفاصيل الثغرات، بعد التأكد من إتمامها لعمليات البحث والتقصي حولها، وتطوير حلول برمجية لسدها.

خدمة "Family Sharing"

وتتمثل ثغرة خدمة "Family Sharing"، في أن تُمكن المخترق من التعرف على البريد الإلكتروني للشخص الرئيسي المسؤول عن تنظيم إدارة الخدمة لعائلته، ما يتيح إرسال دعوة لبريد المقرصن، ثم قرصنة الاشتراكات والمشتريات والصور والبطاقات البنكية وغيرها من بيانات يتم مشاركتها بين أفراد العائلة داخل مجموعتهم على خدمة "فاميلي شير".

وتسهل الخدمة" على أفراد العائلة الواحدة، بحد أقصى 5 أفراد، مشاركة الوصول إلى خدمات "أبل" المختلفة ومشتريات "iTunes" و"Apple Books" و"App Store"، ووتخزين ألبوم صور العائلة، والمساعدة في تحديد موقع أجهزتهم المفقودة.

تطبيق "Find my"

وذكر بن مسعود أنه اكتشف ثغرة في تطبيق "Find my"، تسهل اختراقه وسحب كل بيانات الموقع الجغرافي الخاصة بالأجهزة المختلفة المخزنة داخله، ما يتيح للمخترق الوصول غير المصرح به إلى مواقع أجهزة المستخدمين، بشكل يعتبر انتهاكاً صريحاً للخصوصية، مضيفاً أنه استخدم أسلوب الهندسة العكسية للتطبيق للوصول إلى هذا الخلل.

هجمات احتيال

وقال الباحث التونسي إن مجموعة كبيرة من الثغرات المكتشفة تسمح بتعريض المستخدمين لعدد كبير من هجمات الاحتيال، مشيراً إلى أن المخاطر الخاصة بها مرتبطة بطريقة إدارة "أبل" للنطاقات المختلفة التابعة لأسماء مواقعها الإلكترونية الرئيسية.

وأوضح: "أوجه الخلل التي اكتشفتها تمنح المهاجم القدرة على اكتساب العديد من الصلاحيات الخاصة بالبيانات المخزنة على خوادم أبل، والمرتبطة بعناوين مواقعها الرئيسية".

وتابع أن الثغرات تنوعت بين "SQLinjection" التي يستغلها المهاجم في الوصول لقواعد البيانات لنطاقين فرعيين تابعين لشركة "أبل"، وبيانات تخص مستخدمين يمكن للمهاجمين تسريبها وبيعها على الإنترنت، كما يمكن للمهاجم تعديل هذه البيانات أو حذفها، مما يتسبب في تغييرات مستمرة في محتوى النطاقين الفرعيين".

وأضاف: "هناك نوع آخر من ثغرات نطاقات أبل، يعتمد على قيام المخترق بتصميم صفحات مزيفة مطابقة للتصميم الرسمي، بحيث يمكنه إقناع المستخدمين بالنقر على أحد النطاقات، دون شك منهم، لأن النطاق الفرعي للرابط سيكون تابعاً بالفعل للشركة".

وأردف: "عندما ينقر المستخدم على أحد النطاقين سيفتح النطاق على متصفح سفاري للويب، ليحدث إختراق الجهاز على الفور، سواء كان iPhone أو iPad، لأن المخترق سيستغل ثغرة تتيح له تنفيذ هجوم من دون إثارة أي شك لدى المستخدم".

وأشار بن مسعود إلى أن ثغرتين من الثغرات التي تهدد 386 نطاقاً فرعياً لموقع "iCloud" من نوع "الثغرات الصفرية" Zeroday "التي لا تعلم الشركة أو المجتمع الأمني المعلوماتي بها، مما يجعلها أداة قوية للمخترقين يستخدمونها لشن هجمات خطيرة".

اختراق أنظمة الشركة

وأكد الباحث التونسي أن أنظمة بيانات "أبل" الداخلية لم تسلم من الثغرات الأمنية، مشدداً على أنه "أبلغ أبل بوجود ثغرات في خوادمها تسمح للمهاجم بتخطي الجدار الناري للحماية الخاص بأنظمة الشركة، ومن ثم يمكنه الوصول إلى بيانات الشركة، وإجراء عمليات غير مصرح بها".

وقال بن مسعود: "اكتشفت ثغرة تصيب 3 نطاقات فرعية تابعة لأبل، تسمح للمخترق بحذف عنوان البريد الإلكتروني الخاص بالضحية من كافة القوائم البريدية للشركة، بحيث لا تصله أي رسائل منها، كما تتيح له التلاعب بإعدادات اشتراكات الضحية المختلفة في خدمات الشركة".

وأشار بن مسعود إلى أنه توصل للأكواد المصدرية الخاصة بمنتجات الشركة، عبر النفاذ إلى خوادمها التي لا يجب أن تكون متاحة للعامة.

اقرأ أيضاً: