باحث تونسي يكتشف ثغرات أمنية في خدمات “أبل”.. ما هي؟
إكتشف سيف الله بن مسعود، باحث أمني تونسي، ثغرات في أنظمة وخوادم شركة “أبل”، تتعلق بخدمات Family Sharing لمشاركة البيانات مع أفراد العائلة، وFind my الخاصة بتسهيل تتبع أماكن الأجهزة، مؤكداً أنه أبلغ الشركة بها في تشرين الثاني الماضي.
وأضاف بن مسعود، في تصريحات لـ”الشرق” أن مجموعة كبيرة من الثغرات التي اكتشفها تسمح بتعريض المستخدمين لعدد كبير من هجمات الاحتيال، لافتاً إلى أنه وجد ثغرات في خوادم “أبل” يستطيع المهاجم من خلالها تخطي الجدار الناري للحماية الخاص بأنظمة الشركة.
وأوضح أنه حصل على موافقة الشركة الأميركية لمشاركة تفاصيل الثغرات، بعد التأكد من إتمامها لعمليات البحث والتقصي حولها، وتطوير حلول برمجية لسدها.
وتتمثل ثغرة خدمة “Family Sharing”، في أن تُمكن المخترق من التعرف على البريد الإلكتروني للشخص الرئيسي المسؤول عن تنظيم إدارة الخدمة لعائلته، ما يتيح إرسال دعوة لبريد المقرصن، ثم قرصنة الاشتراكات والمشتريات والصور والبطاقات البنكية وغيرها من بيانات يتم مشاركتها بين أفراد العائلة داخل مجموعتهم على خدمة “فاميلي شير”.
وتسهل الخدمة” على أفراد العائلة الواحدة، بحد أقصى 5 أفراد، مشاركة الوصول إلى خدمات “أبل” المختلفة ومشتريات “iTunes” و”Apple Books” و”App Store”، ووتخزين ألبوم صور العائلة، والمساعدة في تحديد موقع أجهزتهم المفقودة.
وذكر بن مسعود أنه اكتشف ثغرة في تطبيق “Find my”، تسهل اختراقه وسحب كل بيانات الموقع الجغرافي الخاصة بالأجهزة المختلفة المخزنة داخله، ما يتيح للمخترق الوصول غير المصرح به إلى مواقع أجهزة المستخدمين، بشكل يعتبر انتهاكاً صريحاً للخصوصية، مضيفاً أنه استخدم أسلوب الهندسة العكسية للتطبيق للوصول إلى هذا الخلل.
وقال الباحث التونسي إن مجموعة كبيرة من الثغرات المكتشفة تسمح بتعريض المستخدمين لعدد كبير من هجمات الاحتيال، مشيراً إلى أن المخاطر الخاصة بها مرتبطة بطريقة إدارة “أبل” للنطاقات المختلفة التابعة لأسماء مواقعها الإلكترونية الرئيسية.
وأوضح: “أوجه الخلل التي اكتشفتها تمنح المهاجم القدرة على اكتساب العديد من الصلاحيات الخاصة بالبيانات المخزنة على خوادم أبل، والمرتبطة بعناوين مواقعها الرئيسية”.
وتابع أن الثغرات تنوعت بين “SQLinjection” التي يستغلها المهاجم في الوصول لقواعد البيانات لنطاقين فرعيين تابعين لشركة “أبل”، وبيانات تخص مستخدمين يمكن للمهاجمين تسريبها وبيعها على الإنترنت، كما يمكن للمهاجم تعديل هذه البيانات أو حذفها، مما يتسبب في تغييرات مستمرة في محتوى النطاقين الفرعيين”.
المصدر: لبنان 24
مواضيع ذات صلة :
 مزايا الذكاء الاصطناعي على “آيفون” بدون إنترنت! |  “بشرى سارة” من “أبل” لمستخدمي “آيفون” |  ما هي الأجهزة “المحرومة” من تحديث “أبل” المنتظر؟ |
