آبل تُصلح ثغرة في تطبيق باسووردس تعرض المستخدمين لهجمات تصيد احتيالي

0 دقيقة واحدة

Generic iOS 18 Passwords Feature Detafour

أعلنت شركة آبل عن إصلاح خلل أمني في تطبيق “باسووردس” (Passwords) في نظام “آي أو إس 18.2″، والذي تسبب في تعرض مستخدميه لعدة هجمات تصيد احتيالي على مدار ثلاثة أشهر.

وقد تم اكتشاف هذا الخلل بعد إصدار نظام “آي أو إس 18″، وفقًا لتحديث أمني رصدته مصادر تقنية مثل موقع “9 تو 5 ماك”.

بعد أن ألغت آبل أداة إدارة كلمات المرور “كيتشين” (Keychain) في نظام “آي أو إس 18” ودمجتها في تطبيق مستقل يسمى “باسووردس”، ظهرت ثغرة أمنية في بروتوكول “إتش تي تي بي” (http) الذي كان التطبيق يستخدمه.

هذه الثغرة جعلت المستخدمين عرضة لهجمات التصيد الاحتيالي.

الباحثون في “ميسك” (Mysk) كانوا أول من اكتشف هذه الثغرة. فقد لاحظوا أن تقرير الخصوصية الخاص بالتطبيق على أجهزة آيفون أظهر 130 اتصالًا غير آمن من تطبيق “باسووردس” عبر بروتوكول “إتش تي تي بي”.

ووجدوا أن التطبيق لم يكن يرسل إشعارات الحسابات أو الأيقونات فقط عبر هذا البروتوكول غير الآمن، بل كان يفتح أيضًا صفحات إعادة تعيين كلمات المرور بشكل افتراضي عبر نفس البروتوكول غير المشفر، ما أدى إلى تعريض المستخدمين للخطر.

استغل المهاجمون الذين لديهم وصول إلى نفس الشبكة (مثل شبكات الواي فاي في المقاهي أو الفنادق) هذه الثغرة لاعتراض طلبات “إتش تي تي بي” قبل إعادة توجيهها، مما سمح لهم بالتلاعب بحركة المرور وجمع بيانات الاعتماد من المستخدمين. وبذلك، أصبح بإمكانهم تنفيذ هجمات سيبرانية أخرى بسهولة.

على الرغم من أن آبل أصلحت هذه الثغرة في شهر ديسمبر/كانون الأول الماضي، إلا أنها لم تكشف عنها إلا مؤخرًا. وقد قامت آبل بتحديث تطبيق “باسووردس” ليستخدم الآن بروتوكول “إتش تي تي بي إس” (https) المشفر في جميع اتصالاته، مما يضمن حماية أفضل للمستخدمين ضد مثل هذه الهجمات.

وأكد فريق “ميسك” على أهمية أن تفرض آبل بروتوكول “إتش تي تي بي إس” بشكل صارم على تطبيقات حساسة مثل “باسووردس”، وأوصوا أيضًا بتوفير خيار للمستخدمين لتعطيل تنزيل الرموز لحماية بياناتهم بشكل أكبر.