ثغرة في تطبيق باسورد

أطلقت شركة أبل في وقت سابق، تطبيقا جديدا يعرف باسم تطبيق Passwords وذلك عند تحديث نظام التشغيل الجديد الخاص بها وهو iOS 18، ويعمل هذا التطبيق على إدارة كلمات المرور، ويكون عبارة عن تطوير لخدمة Keychain المدمجة سابقا وذلك في إعدادات النظام، إلا أن التطبيق يعاني من خلل أمني خطير، إذ كان يتم إجراء اتصالات غير آمنة من خلال استخدام بروتوكول HTTP، ما جعله عُرْضة لهجمات اختراق محتملة، بحسب تقرير نشره باحثون بشركة Mysk لأمن المعلومات.

تقرير يكشف عن وجود ثغرة في تطبيق Passwords

وأشار تقرير أمني حديث إلى وجود ثغرة في تطبيق Passwords، ما جعله عرضة لهجمات التصيد الاحتيالي وذلك لفترة تصل إلى نحو 3 أشهر، وجاء ذلك قبل إصلاح الخلل الموجود في تحديث iOS 18.2.

وأشار عدد من الباحثين في الأمن السيبراني إلى وجود هذه الثغرة بعد ملاحظتهم أن تطبيق Passwords الجديد من أبل كان يتصل بأكثر من 130 موقعا من خلال بروتوكول HTTP غير المشفر، وبعد التحقق من ذلك، أشار الباحثون إلى أن تطبيق باسورد الذي أطلقته أبل كان لا يقتصر على تحميل شعارات الحسابات وكذلك أيقوناتها، بل كان يقوم أيضا بفتح صفحات إعادة تعيين كلمات السر وذلك من خلال هذا البروتوكول غير المشفر.

تهديد خطير لحسابات مستخدمي الإنترنت

ولفت الباحثون إلى أن هذا الأمر كان يمثل تهديدا خطيرا، فكان يتيح لأي مهاجم لديه وصول مميز إلى الشبكة القيام باعتراض طلب HTTP، فضلا عن توجيه المستخدم إلى موقع تصيد احتيالي.

وأشار الباحثون أيضا إلى أن معظم المواقع الحديثة التي تتيح الاتصال من خلال HTTP غير المشفر، تعيد التوجيه تلقائيا إلى HTTPS من خلال عملية إعادة توجيه 301، إلا أن المشكلة تبدأ عندما يكون المهاجم متصلا على الشبكة نفسها مع الضحية مثل شبكات الواي فاي في المقاهي أو المطارات أو الفنادق؛ إذ يمكنه من اعتراض الطلب.