قال الباحث ألامني ويل سترافيش، أن مجموعة من التطبيقات المتاحة عبر متجر آب ستور، معرضة لثغرة تتيح للقراصنة تنفيذ هجوم من نوع "رجل في المنتصف" MITM، الامر الذي يعرض بيانات المستخدمين للخطر.
وكشف ويل سترافيش، عبر مدونته الشخصية، أنه أثناء تحليل الشفرة البرمجية الخاصة بعدد من التطبيقات المتاحة على متجر آب ستور وجد أن المئات منها معرضة لعلميات الاعتراض الصامت للبيانات من قبل القراصنة، حتى وإن كانت هذه البيانات مؤمنة أو مشفرة.
وأشار سترافيش إلى أن التحليل الأولي للبيانات أظهر وجود 76 من التطبيقات الشهيرة لنظام iOS، معرضة للثغرة، مشيراً الى ان تلك التطبيقات تم تحميلها نحو 18 مليون مرة على أجهزة آبل، ما يضع بيانات الملايين من المستخدمين عرضة للاعتراض أو التلاعب من قبل القراصنة.
وتعمل الثغرة بسبب كود تستخدمه هذه التطبيقات يسمح بقبول أي شهادة توثيق لإنشاء اتصال مؤمن، مما يسهل للقراصنة خداع هذه التطبيقات واعتراض الاتصال خاصة في حال كان المستخدم متصل عبر شبكة الـ wifi، حيث شدد سترافيش على أن الثغرة يصعب استغلالها إذا ما كان المستخدم متصلا بالإنترنت عبر شبكات الـ 3g.
وشدد سترافيش على أن ميزة النقل الأمن للبيانات داخل التطبيقات في نظام iOS لا تساعد ولا يمكنها التعامل مع أو صد الهجمات التي تستخدم هذه الثغرة في التطبيقات المصابة.
ونشر الباحث الأمني أسماء مجموعة من التطبيقات المتأثرة بشكل منخفض للثغرة، حيث يُمكن للقراصنة الحصول على بيانات حساسة جزئياً مثل عناوين البريد الإلكتروني، وبعض البيانات التي يتم تسجيلها بشكل غير مؤمن، وهي كالآتي:
-
تطبيق مصرف الأمان الليبي
-
تطبيق فرع فيرست بنك في بورتريكو
-
تطبيق برايفت 24 الخاص بـبرايفت بنك الأوكراني
-
تطبيقات للمحادثات مثل ooVoo وYeeCall وMico
-
تطبيق منصة البث الحي Loops Live
-
تطبيقات الجوائز CashApp، وFreeMyApps وGiftSaga
-
تطبيق التعديل على الفيديو VivaVideo
-
تطبيقي بث الموسيقى Volify وMusic tube
-
تطبيق كتب الأطفال Epic!
-
تطبيق التخزين السحابي Tencent Cloud
-
تطبيق متصفح الإنترنت Cheetah
-
تطبيق VICE News للأخبار
-
تطبيق منصة تداول الفوركس Trading 212
-
تطبيق منصة الرهانات AutoLotto
-
تطبيقي الشبكات الخاصة الافتراضي Private Browser وvpn Free-OvpnSpide
-
تطبيق التحكم بكاميرات المراقبة Foscam
-
تطبيق قراءة رموز QR التابع لشركة ScanLife المتاح تحت اسم Code Scanner.
-
تطبيق Uconnect Access
-
تطبيق InstaRepost عند استخدامه مع حسابات إنستاغرام.
وتسببت الثغرة في التأثير على عدة تطبيقات أخرى تستهدف مستخدمي سناب شات، ما يسمح بالحصول على المعلومات الخاصة بحسابات هؤلاء، وهي تطبيقات Friends for Snapchat 1000 وUploader for Snapchat وSafe Up for Snapchat وUploader Free for Snapchat وSnap Upload for Snapchat.
وبالتالي فإن كنتم من مستخدمي إحدى هذه التطبيقات ننصحكم بإزالتها لحين قيام مطوريها بإصلاح الثغرة.
يذكر أن سترافيش وضع فترة تمتد ما بين شهرين و ثلاثة شهور للسماح لمطوري التطبيقات التي تتأثر بشكل متوسط أو عالي الخطورة بالثغرة بإصدار تحديثات أمنية تحمي المستخدمين قبل أن يقوم بالإعلان عن أسماء هذه التطبيقات، حيث أكد أن الثغرة معقدة ولا يمكن حلها من قبل المستخدمين أو من شركة آبل وأن المطورين فقط من يستطيعون علاجها نهائياً.