ثغرة أمنية خطيرة في تطبيق Passwords من آبل تهدد ملايين المستخدمين

كشفت تقارير أمنية حديثة عن ثغرة أمنية بالغة الخطورة في تطبيق Passwords الذي أطلقته شركة آبل ضمن تحديث iOS 18 لنظام تشغيل هواتف آيفون. فقد مكّنت هذه الثغرة قراصنة الإنترنت من شن هجمات تصيد احتيالي على مستخدمي التطبيق لمدة ثلاثة أشهر كاملة، قبل أن تُصلح آبل الخلل في تحديث iOS 18.2.

ظهور الثغرة وتفاصيلها

أطلقت آبل في تحديث iOS 18 تطبيق Passwords الجديد لإدارة كلمات المرور، باعتباره تطوراً لخدمة Keychain القديمة. لكن هذا التطبيق، للأسف، عانى من خلل أمني خطير تمثل في اتصالاته غير الآمنة عبر بروتوكول HTTP، مما جعله عرضة للاختراق، وفقاً لتقرير نشرته شركة Mysk للأمن السيبراني. هذا البروتوكول، كما هو معروف، لا يُشفر البيانات، مما يجعلها عرضة للاعتراض.

اكتشف باحثو الأمن السيبراني هذه الثغرة بعد ملاحظتهم اتصال تطبيق Passwords بأكثر من 130 موقعاً عبر بروتوكول HTTP غير المشفر. وبالتحقيق، تبين أن التطبيق لم يقتصر على تحميل الشعارات فقط، بل كان يفتح صفحات إعادة تعيين كلمات المرور عبر نفس البروتوكول غير الآمن!

وأوضح فريق Mysk أن هذا الأمر يشكل تهديداً بالغ الخطورة، إذ يمكن لأي شخص لديه إمكانية الوصول إلى نفس الشبكة اعتراض طلبات HTTP وتوجيه المستخدم إلى مواقع تصيد احتياليّة مُزيّفة.

معظم المواقع الحديثة، وفقاً للباحثين، تقوم تلقائياً بإعادة توجيه الاتصالات من HTTP إلى HTTPS (بروتوكول آمن) عبر عملية إعادة توجيه 301. لكن المشكلة تكمن في أن المهاجم، في حالة وجوده على نفس الشبكة العامة مع الضحية (مثل شبكات الواي فاي العامة في المقاهي أو المطارات)، يستطيع اعتراض طلب HTTP الأصلي قبل إعادة التوجيه إلى النسخة المشفرة.

وقدّم الباحثون مثالاً عملياً: تمكن المهاجم من إعادة توجيه المستخدم إلى صفحة مزيفة تُشبه بوابة تسجيل الدخول لموقع Microsoft Live.com، مما سمح له بسرقة بيانات تسجيل الدخول والقيام بهجمات أخرى.

رد فعل آبل المتأخر

أصلحت آبل الثغرة الأمنية في تحديث iOS 18.2 و iPadOS 18.2 في ديسمبر الماضي، لكنها لم تُعلن عنها إلا مؤخراً. بمعنى آخر، كانت بيانات المستخدمين معرضة للخطر لمدة ثلاثة أشهر كاملة منذ إطلاق iOS 18 في سبتمبر 2024! أصبح التطبيق الآن يُفرض استخدام HTTPS افتراضياً لجميع الاتصالات، مما يعزز أمان المستخدمين.

يُنصح المستخدمون بتحديث أجهزتهم إلى أحدث إصدار من iOS 18.2 أو ما هو أحدث لتجنب أي مخاطر أمنية. وقد انتقد الباحثون تأخر آبل في إصلاح هذه الثغرة، مشيرين إلى أنه كان يجب عليها فرض استخدام HTTPS منذ البداية في تطبيق حساس كهذا، بل وتوفير خيار يسمح للمستخدمين بتعطيل تنزيل الأيقونات تماماً لمن يرغب في تعزيز خصوصيته.

للمزيد من المعلومات حول أمن المعلومات، يمكنك زيارة cisa.gov/uscert”>موقع CISA للحصول على نصائح ونصائح حول أفضل الممارسات.