ثغرة تطبيقات «آي أو إس» تهدد بيانات ملايين المستخدمين

تتيح للقراصنة تنفيذ هجمات

كشف باحث أمني أن عدد كبير من التطبيقات المخصصة لنظام آي أو إس iOS، والمتاحة عبر متجر آب ستور، معرضة لثغرة تتيح للقراصنة تنفيذ هجوم من نوع "رجل في المنتصف" MITM، مما يعرض بيانات المستخدمين للخطر.
وأوضح ويل سترافيش، عبر مدونته الشخصية، أن أثناء تحليل الشفرة البرمجية الخاصة بعدد من التطبيقات المتاحة على متجر آبل آب ستور وجد أن مئات منها معرضة لعلميات الاعتراض الصامت للبيانات من قبل القراصنة، حتى وإن كانت هذه البيانات مؤمنة أو مشفرة.
وأشار سترافيش إلى أن التحليل الأولي للبيانات أظهر وجود 76 من التطبيقات الشهيرة لنظام iOS، وتحديدا من التي تعمل على نظام iOS 10، معرضة لثغرة تسمح بهجمات رجل في المنتصف، حتى وإن كانت البيانات فيها يتم تناقلها بشكل مؤمن ومشفر باستخدام بروتوكول طبقة النقل المؤمنة TSL.
وأضاف الباحث الأمني أن تلك التطبيقات المعرضة للهجوم تم تحميلها نحو 18 مليون مرة على أجهزة آبل الذكية العاملة بنظام iOS 10، مما يضع بيانات الملايين من المستخدمين عرضة للاعتراض أو التلاعب من قبل القراصنة.
وتعمل الثغرة بسبب كود تستخدمه هذه التطبيقات يسمح بقبول أي شهادة توثيق لإنشاء اتصال مؤمن، مما يسهل للقراصنة خداع هذه التطبيقات واعتراض الاتصال خاصة وإن كان المستخدم متصل عبر شبكة لاسلكية، حيث شدد سترافيش أن الثغرة يصعب استغلالها إذا ما كان المستخدم متصلا بالإنترنت عبر شبكات الجوال.
وأكد أن 33 من هذه التطبيقات متأثرة بشكل منخفض من الثغرة التي تسمح بهذه الهجمات، حيث يُمكن للقراصنة الحصول على بيانات حساسة جزئيا مثل عناوين البريد الإلكتروني، وبعض البيانات التي يتم تسجيلها بشكل غير مؤمن.
وفي المقابل وصل عدد التطبيقات المتأثرة بشكل متوسط من الثغرة إلى نحو 24 تطبيقا، حيث يمكن للقراصنة اعتراض عمليات تسجيل الدخول والحصول على رموز المصادقة لهذه العمليات مما يعرض حسابات مستخدمي هذه التطبيقات لخطر الاختراق بحسب البوابة العربية للأخبار التقنية.
وبلغ عدد التطبيقات المتأثرة بشكل عالي الخطورة لهذه الثغرة نحو 19 تطبيقا، حيث يُمكن للقراصنة اعتراض عمليات تسجيل دخول إلى حسابات حساسة مثل الحسابات المالية والبنكية، وحسابات خدمات طبية، كما يستطيع القراصنة الحصول على الرموز الأمنية لمحاكاة عمليات تسجيل الدخول فيما بعد.