تركت شركة أبل، المشهورة بأمانها العالي، ثغرة أمنية خطيرة في تطبيق Passwords الخاص بها لمدة ثلاثة أشهر، مما عرض مستخدميها لمخاطر احتيالية. تم اكتشاف هذه الثغرة (CVE-2024-44276) من قبل مطوري Mysk عبر تحليل حركة مرور الشبكة، حيث تبين أن التطبيق يعتمد في بعض الحالات على بروتوكول HTTP غير الآمن بدلاً من HTTPS المشفر. هذا الخطأ جعل المستخدمين عرضة لهجمات man-in-the-middle، خاصة أثناء عمليات حساسة مثل إعادة تعيين كلمات المرور.
تفاصيل الثغرة
حدد الباحثون سلوكين رئيسيين معرضين للخطر:
استرجاع الشعارات والأيقونات: كان التطبيق يقوم بتنزيل شعارات المواقع وأيقوناتها عبر طلبات HTTP غير مشفرة. على الرغم من أن هذا لا يشكل تهديدًا مباشرًا، إلا أنه يكشف عن نقص في الدقة الأمنية.
صفحات إعادة تعيين كلمة المرور: كان التطبيق يفتح هذه الصفحات عبر HTTP افتراضيًا، مما يتيح للمهاجمين المتصلين بنفس الشبكة اعتراض الطلبات وتوجيه المستخدمين إلى مواقع احتيالية لسرقة بياناتهم.
الخطر الحقيقي
الاعتماد على HTTP في هذه العمليات الحساسة جعل المستخدمين عرضة لهجمات man-in-the-middle، حيث يمكن للمهاجمين التلاعب بالاتصالات واستغلالها للوصول إلى معلومات سرية.
استجابة أبل
تم تصحيح الثغرة في الإصدار 18.2 من iOS في ديسمبر، لكن أبل لم تعلن عنها رسميًا إلا في 17 مارس 2025.
التأخير في الإعلان أثار تساؤلات حول شفافية الشركة في التعامل مع المشكلات الأمنية.
نصيحة للمستخدمين
يُنصح مستخدمو تطبيق Passwords بتحديث أنظمتهم إلى أحدث إصدار لضمان الحماية. تُظهر هذه الحادثة أن أبل، رغم سمعتها الأمنية، ليست محصنة ضد الأخطاء، مما يبرز أهمية اليقظة المستمرة وتحديث الأنظمة بانتظام.
تعليقات: (0) إضافة تعليق