iCloud ضحية لخرق أمني خطير، تحاول شركة Apple التستر عليه

قامت شركة Apple مؤخرًا بتصحيح ثغرة أمنية كبيرة في iCloud. اكتشف باحث يُدعى لاكسمان موثيا بالفعل ثغرة أمنية في نظام تعديل كلمة المرور، والتي يمكن للمتسلل اختراقها للسيطرة على حساب ضحيته. يدعي الخبير أن شركة كوبرتينو قللت من حجم المشكلة.

يمكن أن يكون تخزين بياناتك عبر الإنترنت حلاً عمليًا للغاية لتوفير المساحة المتوفرة على أجهزتك،لكنها بالطبع لا تخلو من المخاطر. لقد شهدت iCloud هذا الأمر عدة مرات، لا سيما أثناء قضية صور المشاهير المسروقة، ولكن أيضًا بسبب ذلكهجمات البرمجيات الخبيثة المتعددة على الخدمات السحابية. ناهيكالثغرات الأمنية التي تعمل شركة آبل على إخفائها عن المستخدمين.

اكتشف لاكسمان موثيا، الباحث في مجال الأمن السيبراني، ثغرة أمنية واسعة النطاق تؤثر على وظيفة تغيير كلمة المرور. للسماح للمستخدمين باستعادة الوصول إلى حساباتهم في حالة نسيانها، ترسل الخدمة رمزًا مكونًا من 6 أرقام عبر الرسائل القصيرة أو البريد الإلكتروني. إذا كان المتسلل يرغب في تحقيق أهدافه، فيجب عليه معرفة رقم الهاتف أو عنوان البريد الإلكتروني الخاص بضحيته، ثم تخمين الرمز المكون من 6 أرقام المرسل بينالمليون وبعض الاحتمالات.

سيكون الحل الأكثر فعالية للمتسلل هو استخدام طريقة القوة الغاشمة. لقد توقعت شركة Apple هذا الاحتمال وتمنع أي محاولة لذلكالحد من عدد المحاولات إلى 5. بالإضافة إلى ذلك، لا يمكن أن يتجاوز عدد الطلبات من نفس عنوان IP 6. في المجمل، سيحتاج الشخص الخبيث إلى ذلك28000 عنوان IP مختلفإلى "bruteforce" الرمز المكون من 6 أرقام الذي تم إرساله بواسطة iCloud. وأخيرا، لتعزيز أمن منصتها،تحظر Apple جميع الطلبات الواردة من الخدمة السحابيةمثل Amazon Web Services وGoogle Cloud.

ولكن في الواقع، كما اكتشف لاكسمان موثيا، ليست جميع الخدمات السحابية محظورة، وهو مايفتح الباب أمام محاولات القوة الغاشمة."يجب علينا أولاً تجاوز الرمز المكون من 6 أرقام من الرسالة النصية القصيرة ثم الرمز المكون من 6 أرقام المستلم في عنوان البريد الإلكتروني""، يوضح الباحث."يعتمد كلا الحلين على نفس الطريقة والبيئة، لذلك لا نحتاج إلى تغيير أي شيء عندما نحاول الحل البديل الثاني". يشير لاكسمان إلى ذلكحتى المصادقة الثنائية لا يمكنها فعل أي شيء حيال هذا الخلل، رغم أنه يعترف بذلك"الهجوم ليس من السهل تنفيذه."

في نفس الموضوع:Windows 10 — قد يصيبك iTunes وiCloud ببرامج الفدية، قم بتحديثهما!

وحذر الباحث شركة آبل على الفور من الثغرة الأمنية، في يوليو 2020.ولم يتم تصحيحه إلا في شهر أبريل من هذا العامدون إبلاغ لاكسمان."كانت أقلية صغيرة جدًا من الحسابات معرضة للخطر، وكان عدد قليل جدًا من مستخدمي أجهزة Apple معرضين للخطر".انتهى الأمر بشركة كوبرتينو بإخباره بإضافة ذلك"يعمل هذا الهجوم فقط ضد حسابات Apple ID التي لم يتم استخدامها مطلقًا لتسجيل الدخول على جهاز iPhone أو iPad أو Mac محمي بكلمة مرور".

وقللت شركة أبل من خطورة الوضع

المبرر الذي يترك لاكسمان موثية غير متأثر. ووفقا له،تم تصحيح الخلل في أكتوبر 2020، بعد أشهر قليلة من تنبيهه. تقول شركة Apple إن ثغرة التحقق من صحة كلمة المرور لم تكن موجودة على الإطلاق، لكن الباحث متأكد من أنه تم إجراء تحديث بعد الإبلاغ عنها.

"إذا قاموا بإصلاحها بعد تقريري، أصبحت الثغرة الأمنية أكثر خطورة مما كنت أعتقد في البداية. من خلال تحديد كلمة المرور بواسطة Bruteforce، سنكون قادرين على تحديد رمز الوصول الصحيح عن طريق التمييز بين الاستجابات. لذلك لا يمكننا التحكم في أي حساب على iCloud فحسب، بل نكتشف أيضًا رمز جهاز Apple المرتبط به ».

وسواء سعت شركة آبل إلى إخفاء خطورة الخلل عن مستخدميها أم لا، تظل الحقيقة أنها اختفت. ولذلك من الصعب معرفة ما إذا كانت تصريحات لاكسمان موثية صحيحة. ويدعي الأخير أن أبل عرضت عليه18 ألف دولار مقابل تقريرهوهو المبلغ الذي رفضه، معتبرًا أنه منخفض جدًا بالنسبة لمدى الضعف.

مصدر :أسبوع الأمن