أخبار تقنية

خطير : إكتشاف ثغرة zero-day على Keychain في نظامي iOS و OS X

خطير : إكتشاف ثغرة zero-day  على Keychain في نظامي iOS و OS X
خطير : إكتشاف ثغرة zero-day على Keychain في نظامي iOS و OS X

قال باحثون من جامعة إنديانا ومعهد جورجيا للتكنولوجيا إنهم اكتشفو الثغرة أمنية zero-day على نظامي iOS و OS X، أن هذه الثغرة تسمح للتطبيقات الخبيثة من سرقة كلمات السر من Keychain (وهو برنامج من آبل خاص بإدارة كلمات السر)، حيث قاموا بصنع تطبيق من خلاله يمكنهم إستغلال هذه الثغرة، فقاموا برفعه على متجر تطبيقات آبل بدون أية مشاكل أو قيود مما يشكل بحد ذاته مشكلا للشركة، كما استطاعوا سرقة كلمات السر من تطبيقات أخرى مثبتة على الجهاز.

تمكنا إختراق بشكل كامل خدمة keychain – المستعملة لحفظ كلمات السر – والـ sandbox في نظام OS X، كما تم كشف نقاط ضعف جديدة في آليات الإتصال بين التطبيقات في OS X  و iOS والتي يمكن إستخدامها لسرقة بيانات حساسة من فيسبوك و Evernote وغيرها.

وقال موقع The Register أن فريق الباحثين بين الأمر لشركة آبل منذ شهر أكتوبر من العام الماضي، وفي ذات الوقت قالت آبل إنها على ذراية بخطورة هذه الثغرات ومنحها الباحثون ستة أشهر لمعالجتها قبل إطلاع العموم عليها، لمن العيوب مازالت موجودة بالإصدارات الجديدة من نظامها.

وكان الباحثين قادرين على تحميل البرمجية الخبيثة من خلال إستغلال نقط الضعف في كل من iOS و Mac App Stores على الرغم من فحص ومراجعة آبل لها إلا أنها قبلت في كلا المنصتين.

وقال الفريق أنه جرب الإسغلال ضد عدد كبير من تطبيقات Mac و iOS، ووصلوا إلى أن حوالي 90% منها إستسلمت وسمحت للبرمجية الخبيثة لولوج كافة البيانات المخزنة على التطبيقات بما في ذلك تسجيلات الدخول.

وقال AgileBits -وهو مطور التطبيق الأكثر شعبية 1Password أنه لا يرى أي وسيلة حماية من الثغرة، وأما الفريق الأمني لغوغل كروم فيرى أن الحماية على مستوى التطبيق تعد مستحيلة وقام بإزالة إضاقة Keychain على متصفحه.

ويعد الحل الوحيد في الوقت الراهن الحذر أثناء عملية تنزيل التطبيقات من -مطور غير معروف- أو unknown developer بالإنجليزية من خلال منصة iOS أو Mac App Stores وتكون في حالة حذر شديد أثناء طلب عملية تسجيل الدخول يدويا، وعادة ما يكون ذلك عن طريق Keychain.

كما ليس من مصلحة أي شخص السماح لأي تطبيق أو متصفح من تخزين ملعلوماته الحساسة جدا كالخدمات المصرفية عبر الأنترنيت وغيرها.

الوسوم

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

إغلاق