العدد 5267 بتاريخ 06-02-2017م تسجيل الدخول


الرئيسيةتكنو
شارك:


ثغرة في عدد من تطبيقات "iOS" تهدد بيانات ملايين المستخدمين

الوسط - المحرر التقني

كشف باحث أمني أن عدد كبير من التطبيقات المخصصة لنظام "آي أو إس" iOS، والمتاحة عبر متجر آب ستور، معرضة لثغرة تتيح للقراصنة تنفيذ هجوم من نوع MITM، مما يعرض بيانات المستخدمين للخطر.

وأوضح ويل سترافيش، عبر مدونته الشخصية، أن أثناء تحليل الشفرة البرمجية الخاصة بعدد من التطبيقات المتاحة على متجر أبل آب ستور وجد أن مئات منها معرضة لعلميات الاعتراض الصامت للبيانات من قبل القراصنة، حتى وإن كانت هذه البيانات مؤمنة أو مشفرة.

وأشار سترافيش إلى أن التحليل الأولي للبيانات أظهر وجود 76 من التطبيقات الشهيرة لنظام iOS، وتحديدا من التي تعمل على نظام iOS 10، معرضة لثغرة تسمح بهجمات MITM، حتى وإن كانت البيانات فيها يتم تناقلها بشكل مؤمن ومشفر باستخدام بروتوكول طبقة النقل المؤمنة TSL.

وأضاف الباحث الأمني أن تلك التطبيقات المعرضة للهجوم تم تحميلها نحو 18 مليون مرة على أجهزة أبل الذكية العاملة بنظام iOS 10، مما يضع بيانات الملايين من المستخدمين عرضة للاعتراض أو التلاعب من قبل القراصنة.

وتعمل الثغرة بسبب كود تستخدمه هذه التطبيقات يسمح بقبول أي شهادة توثيق لإنشاء اتصال مؤمن، مما يسهل للقراصنة خداع هذه التطبيقات واعتراض الاتصال خاصة وإن كان المستخدم متصل عبر شبكة لاسلكية، حيث شدد سترافيش أن الثغرة يصعب استغلالها إذا ما كان المستخدم متصلا بالإنترنت عبر شبكات الجوال.

وأكد سترافيش أن 33 من هذه التطبيقات متأثرة بشكل منخفض من الثغرة التي تسمح بهذه الهجمات، حيث يُمكن للقراصنة الحصول على بيانات حساسة جزئيا مثل عناوين البريد الإلكتروني، وبعض البيانات التي يتم تسجيلها بشكل غير مؤمن.

وفي المقابل وصل عدد التطبيقات المتأثرة بشكل متوسط من الثغرة إلى نحو 24 تطبيقا، حيث يمكن للقراصنة اعتراض عمليات تسجيل الدخول والحصول على رموز المصادقة لهذه العمليات مما يعرض حسابات مستخدمي هذه التطبيقات لخطر الاختراق.

وبلغ عدد التطبيقات المتأثرة بشكل عالي الخطورة لهذه الثغرة نحو 19 تطبيقا، حيث يُمكن للقراصنة اعتراض عمليات تسجيل دخول إلى حسابات حساسة مثل الحسابات المالية والبنكية، وحسابات خدمات طبية، كما يستطيع القراصنة الحصول على الرموز الأمنية لمحاكاة عمليات تسجيل الدخول فيما بعد.

هذا، وشدد سترافيش على أن ميزة النقل الأمن للبيانات داخل التطبيقات في نظام آي أو إس iOS لا تساعد ولا يمكنها التعامل مع أو صد الهجمات التي تستخدم هذه الثغرة في التطبيقات المصابة.

ونشر الباحث الأمني أسماء مجموعة من التطبيقات المتأثرة بشكل منخفض للثغرة، ومنها تطبيقات بنكية مثل تطبيق مصرف الأمان الليبي، وتطبيق فرع فيرست بنك في بورتريكو، وتطبيق برايفت 24 الخاص بـبرايفت بنك الأوكراني، وتطبيقات للمحادثات مثل ooVoo وYeeCall وMico، وتطبيق منصة البث الحي Loops Live.

ومن التطبيقات الأخرى المتأثرة بشكل منخفض للثغرة، تطبيقات الجوائز CashApp، وFreeMyApps وGiftSaga، وتطبيق التعديل على الفيديو VivaVideo، وتطبيقي بث الموسيقى Volify وMusic tube، بجانب تطبيق كتب الأطفال Epic!، وتطبيق التخزين السحابي Tencent Cloud، وتطبيق متصفح الإنترنت Cheetah.

وتؤثر الثغرة كذلك بشكل منخفض على تطبيقات مثل VICE News للأخبار، وتطبيق منصة تداول الفوركس Trading 212، وتطبيق منصة الرهانات AutoLotto، وتطبيقي الشبكات الخاصة الافتراضي Private Browser وvpn Free-OvpnSpide، بجانب تطبيق التحكم بكاميرات المراقبة Foscam وتطبيق قراءة رموز QR التابع لشركة ScanLife والمتاح تحت اسم Code Scanner.

وتسبب الثغرة في التأثير على عدة تطبيقات أخرى تستهدف مستخدمي سناب شات، مما يسمح بالحصول على المعلومات الخاص بحسابات هؤلاء المستخدمين، وهي تطبيقات Friends for Snapchat 1000 وUploader for Snapchat وSafe Up for Snapchat  وUploader Free for Snapchat  وSnap Upload for Snapchat.

ويتأثر مستخدمي مواقع إنترنت، ومنها شبكات تواصل اجتماعية، من بعض التطبيقات المصابة بالثغرة، والتي كشف عنها سترافيش، ومنها تطبيق Uconnect Access الذي قد يعرض حساب مستخدميه على خدمة راديو الإنترنت "بانادورا" للاختراق، وتطبيق InstaRepost  عند استخدامه مع حسابات إنستاجرام.

يذكر أن سترافيش وضع فترة تمتد ما بين شهرين إلى ثلاثة شهور للسماح لمطوري التطبيقات التي تتأثر بشكل متوسط أو عالي الخطورة بالثغرة بإصدار تحديثات أمنية تحمي المستخدمين قبل أن يقوم بالإعلان عن أسماء هذه التطبيقات، حيث أكد أن الثغرة معقدة ولا يمكن حلها من قبل المستخدمين أو من شركة أبل وأن المطورين فقط من يستطيعون علاجها وسدها نهائيا.

المصدر



أضف تعليق



التعليقات 11
Galaxy 4 ever | 3:11 ص انا مابتكلم ولا بعلق !!!
بس في شخص كان يزعجنا بهراره عن استقرار نظام ابل
#مشاكل وثغرات ماتخلص رد على تعليق
زائر 9 | 11:15 ص خووك شوي شوي ع روحك لا نشط لك عرق
الناس وصلت وين وانت سامسونق وابل
هم ليهم المليارات وانت ليك الرجعية في التفكير
هذا سوق يشمل سلع من كل الانواع كل واحد واختياره
Galaxy 4 ever | 3:13 ص ثغره وراء ثغره
مشكلة وراء مشكلة
ههههههههههههههه
وين اللي يقول ابل نظامه مستقر وحماية وخصوصية
هههههههههه
#نظام الثغرات رد على تعليق
Galaxy 4 ever | 3:23 ص يزعمون بأن أقوى ماعند ابل هو نظامها
طيب
خلال شهرين فقط
عشراأات الثغرات الأمنية التي تهدد المستخدمين وتشل هواتفهم وتهدد معلوماتهم ويطفئ هاتفهم بمجرد رمز وفيديو . رد على تعليق
Galaxy 4 ever | 3:31 ص غريبه هالثغرات والاختراقات ورموز والفيديو اللي تشل الهاتف شل مانسمعها على نظام اندرويد وهواتف اندرويد ليش!!
#لأنه تسمعون وتصدقون كذب ودعايات أبل هههههههه
#تيم كوك يقول نظام IOS افضل نظام في العالم ههههههه
افضل نظام يشير بفيديو ، افضل نظام يعلق برمز !!
#تعو تعو بيو بيو رد على تعليق
زائر 5 | 3:44 ص الطرن اللي تحت يتكلم عن 3rd party application استخدمت YouTube dowloader على الاندرويد كلهم فيهم فيروسات تجسس و malware .. رد على تعليق
Galaxy 4 ever | 4:00 ص المصيبة عملاء أبل سطحيين (على قولة الدراسة التي اجريت مؤخرا) ولذالك تشوفهم تعو تعو بيو بيو
عجل بالله عليكم
تلفون يبند بفيديو مدته ٤ ثواني
ورمز علم وقوس قزح يشير ويوقف بشكل تام
وثغرات لا لها اول ولا أخر!!
لو انا مكانهم (بعيد الشر) ولله اكسره وكتب شكوى ورسلها لأبل الفشل رد على تعليق
زائر 7 | 4:02 ص يااخي العزيز نسينا الخبر اللي كان بعد في جريدتنا الغراء عن اختراق نظام ال iOS 10 من قبل مراهق في ١٧ دقيقه...وهذي ضربه حق مزودينها من شركات مختصه بالبرمجيات.
الفرق بين سامسونج وابل انه سامسونج ماتغني وتلحن على وتر الامان وتعترف انك اذا فتحت ال اوبن سورس راح تتعرض الى احتماليه اصابه هاتفك بملفات غير حميده.. لكن ابل تعرف في قراره نفسها انها بسهوله ممكن انها تنصاب وانها على عكس مايقال انها غير قابله للاختراق ولكن السياسه الامريكيه في التسويق هي الكذب وحتى لو انفضحت بعد اكذب وللاسف ماشيه شغلتهم. رد على تعليق
زائر 8 | 10:17 ص دام ذاكرتك قويه ليش ما ذكرت خبر اختراق الاندرويد غي أقل من ٦٠ ثانية. يعني الاندرويد تهكر قبل ما أكمل الجملة.
زائر 10 | 3:11 م اقراء وش كتبت اخر كلامي بتشوف... سامسونح ماهي نفخاه هواء مليانه جذب يقول لك البرامج قابل لتهكير ولاوجود لكلمه مستحيل ام ايفون يعتبرون نزامهم غير قابل لتهكير وانه واحده من أسباب شراء الناس له انه آمن لين ماطلع لهم هذا المراهق وخلهم يراقعون في بعض وللاسف حتى بعد الحادثه بيقول لك محبين ايفون انه امان وماحد يقدر عليه.
سامسونج مو بس عملانيه وصريحه بل واقعيه ابل تتعيش على الكذب والزيف والخداع
زائر 11 | 3:47 ص للاسف هناك اشخاص تعلق على امور لا تفقه فيها شيئا
الموضوع يتحدث عن بعض البرامج ذات الشعبية لازالت لاتستخدم نظام الTLS او تستخدمه بطريقة خاطئة
القضية ليست لها اي علاقة بأبل سوى ان هذه التطبيقات تعمل على اجهزهتها وبالمناسبة جميع هذه البرامج تعاني من نفس المشكلة على بقية انظمة التشغيل سواء كان الاندرويد او حتى جهاز الكمبيوتر.
والحل لهذه المشكلة هو عدم الاتصال بشبكات لاسلكية غير معروفة او استخدام الVPN
وتحدث الموضوع عن صعوبة استغلال هذه الثغرة في حال استخدام شبكات الجوال رد على تعليق