كشف تقرير أمني حديث عن ثغرة في تطبيق Passwords الذي أطلقته أبل مع تحديث نظام تشغيلها iOS 18، ما جعله عُرْضة لهجمات التصيد الاحتيالي لمدة 3 أشهر، وذلك قبل إصلاح الخلل في تحديث iOS 18.2.
في تحديث iOS 18، أطلقت أبل تطبيقاً جديداً لإدارة كلمات المرور يحمل اسم Passwords، ليكون بمثابة تطوير لخدمة Keychain المدمجة سابقاً في إعدادات النظام، لكن هذا التطبيق كان يعاني من خلل أمني خطير، إذ كان يجري اتصالات غير آمنة باستخدام بروتوكول HTTP، ما جعله عُرْضة لهجمات اختراق محتملة، بحسب تقرير نشره باحثون بشركة Mysk لأمن المعلومات.
كيف تم اكتشاف المشكلة؟
كشف باحثون في الأمن السيبراني عن هذه الثغرة بعد ملاحظتهم أن تطبيق Passwords كان يتصل بأكثر من 130 موقعاً عبر بروتوكول HTTP غير المشفر، وعند التحقيق، تبيَّن أن التطبيق كان لا يقتصر فقط على تحميل شعارات وأيقونات الحسابات، بل كان يفتح صفحات إعادة تعيين كلمات المرور عبر هذا البروتوكول غير المشفر أيضاً.
وأشار فريق شركة Mysk إلى أن هذا الأمر كان يشكّل تهديداً خطيراً، إذ يمكن لأي مهاجم لديه وصول مميز إلى الشبكة اعتراض طلب HTTP وتوجيه المستخدم إلى موقع تصيد احتيالي.
ووفقاً للباحثين، فإن معظم المواقع الحديثة التي تسمح بالاتصال عبر HTTP غير المشفر تقوم تلقائياً بإعادة التوجيه إلى HTTPS عبر عملية “إعادة توجيه 301”.
ولكن تكمن المشكلة عندما يكون المهاجم متصلاً على الشبكة العامة نفسها مع الضحية، مثل شبكات الواي فاي في المقاهي، أو المطارات، أو الفنادق، حيث يمكنه اعتراض طلب HTTP الأوّلي قبل إعادة توجيهه إلى النسخة المشفرة.
كما عرض الباحثون مثالاً توضيحياً، حيث تمكّن المهاجم من إعادة توجيه المستخدم إلى صفحة مزيفة تشبه بوابة تسجيل الدخول لموقع Microsoft Live.com، مما يسمح له بسرقة بيانات تسجيل الدخول وإمكانية تنفيذ هجمات أخرى.
إجراء متأخر من أبل
أصلحت أبل الثغرة الأمنية في iOS 18.2 وiPadOS 18.2 في ديسمبر الماضي، ولكنها لم تفصح عن تفاصيلها إلا خلال الـ24 ساعة الماضية، أي أن خصوصيات المستخدمين كانت على المحك طوال 3 أشهر منذ إطلاق iOS 18 في سبتمبر 2024.
وأصبح التطبيق الآن يفرض استخدام HTTPS افتراضياً لجميع الاتصالات، مما يعزز أمان المستخدمين. وحثّ التقرير المستخدمين على التأكد من تشغيل أحدث إصدار من iOS 18.2 أو النسخ أحدث، لتجنب التعرض لأي مخاطر أمنية.
وانتقد الباحثون تأخر أبل في كشف هذه الثغرة، قائلين: “فوجئنا بأن أبل لم تفرض استخدام HTTPS منذ البداية في تطبيق حساس مثل Passwords. كما كان يجب عليها توفير خيار يتيح للمستخدمين القلقين بشأن الخصوصية تعطيل تنزيل الأيقونات تماماً”.
