ابل تمنح شخصا 100 ألف دولار كمكافأة لاكشافه ثغرات أمنية خطيرة في أنظمتها
كافأت شركة ابل شخصا يدعى رايان بيكرين بمبلغ 100 ألف دولار من خلال برنامج المكافآت الخاص بالشركة و ذلك بعدما قدم للشركة تقريرا يدل على وجود ثغرات أمنية خطيرة في أنظمة ابل.
يدعي الباحث أنه بالإضافة إلى تشغيل كاميرا المستخدم فإن الثغرات تسمح أيضًا للهاكرز بالوصول إلى كل موقع ويب زاره الضحية و يمكن للمخترق اختراق حسابات اي كلاود و بايبال و فيسبوك و جيميل و غيرها الكثير.
و يدعي الباحث أنه قدم التقرير إلى ابل في منتصف يوليو 2021 و قامت الشركة بتصحيح جميع الثغرات في أوائل عام 2022 ومنحته 100 ألف دولار كمكافأة.
الثغرات كانت في تطبيق ShareBear و هو تطبيق لمشاركة الملفات على آي كلاود حيث يطلب التطبيق من المستخدمين التحقق فقط عندما يحاولون فتح مستند مشترك لأول مرة.
اكتشف رايان أنه نظرًا لعدم مطالبة المستخدمين بعد ذلك بمجرد فتح الملف لأول مرة فيمكن لأي شخص لديه حق الوصول إلى محتويات الملف تعديله.
سيقوم التطبيق بعد ذلك بتنزيل الملف وتحديثه على جهاز الضحية دون أي تفاعل أو إخطار من المستخدم و في الأساس فقد أعطى الضحية للمهاجم الإذن بزرع ملف متعدد الأشكال على أجهزته والإذن بتشغيله عن بُعد في أي لحظة.
تتمثل الحيلة الأساسية في خداع الضحية لفتح الملف لأول مرة وتزويد المهاجم بالوسائل اللازمة لتغيير الملف المشترك دون علم الضحية بذلك. و قد أوضح الباحث أن المهاجمين يمكنهم استخدام شيء بسيط مثل ملف صورة بتنسيق PNG ثم يغيرون محتواه بالكامل لاحقًا بعد موافقة المستخدم على فتحه.
و قد أظهر البحث أن عيبًا في تصميم تطبيق واحد يمكن أن يمكّن مجموعة متنوعة من الأخطاء الأخرى من أن تصبح خطيرة جدًا على المستخدم.
اقرأ أيضا: كيف يجعلك المخترق تنقر على الروابط الخبيثة دون أن تدرك ذلك ؟
في سبتمبر الماضي ، أصدر باحثو الأمن في جامعة برمنغهام تقرير يوضح بالتفصيل كيف يمكن للهاكرز تجاوز شاشة قفل Apple Pay على أي جهاز ايفون باستخدام بطاقة فيزا عادية.
وفقًا للتقرير يمكن للمهاجمين تجاوز أنطمة ابل مما يسمح بمعاملات لا تلامسية غير محدودة من جهاز ايفون مغلق و لإثبات وجهة نظرهم نجح الباحثون في تنفيذ هجوم حيث سرقوا ألف جنيه (حوالي 1300 دولار) من حساباتهم الشخصية.
و في وقت سابق من العام الماضي أعلنت مجموعة Citizen Lab لمراقبة أمن الإنترنت عن ثغرة أمنية خطيرة في برامج ابل أطلق عليها اسم FORCEDENTRY.
و قد أبلغت مجموعة من الباحثين الأمنيين أيضًا عن أربع ثغرات أمنية حرجة في نظام التشغيل iOS 14 من ابل حيث تؤثر هذه الثغرات على مجموعة واسعة من بيانات النظام مما يسمح للهاكرز بالوصول إلى التطبيقات و سجل التصفح وبيانات الصحة الشخصية.
اقرأ أيضا: ابل تطلق تحديث ios 14.4.2 لإغلاق ثغرة أمنية خطيرة