قامت شركة Apple مؤخرًا بتصحيح ثغرة أمنية كبيرة في iCloud. اكتشف باحث يُدعى لاكسمان موثيا بالفعل ثغرة أمنية في نظام تعديل كلمة المرور، والتي يمكن للمتسلل اختراقها للسيطرة على حساب ضحيته. يدعي الخبير أن شركة كوبرتينو قللت من حجم المشكلة.
يمكن أن يكون تخزين بياناتك عبر الإنترنت حلاً عمليًا للغاية لتوفير المساحة المتوفرة على أجهزتك،لكنها بالطبع لا تخلو من المخاطر. لقد شهدت iCloud هذا الأمر عدة مرات، لا سيما أثناء قضية صور المشاهير المسروقة، ولكن أيضًا بسبب ذلكهجمات البرمجيات الخبيثة المتعددة على الخدمات السحابية. ناهيكالثغرات الأمنية التي تعمل شركة آبل على إخفائها عن المستخدمين.
اكتشف لاكسمان موثيا، الباحث في مجال الأمن السيبراني، ثغرة أمنية واسعة النطاق تؤثر على وظيفة تغيير كلمة المرور. للسماح للمستخدمين باستعادة الوصول إلى حساباتهم في حالة نسيانها، ترسل الخدمة رمزًا مكونًا من 6 أرقام عبر الرسائل القصيرة أو البريد الإلكتروني. إذا كان المتسلل يرغب في تحقيق أهدافه، فيجب عليه معرفة رقم الهاتف أو عنوان البريد الإلكتروني الخاص بضحيته، ثم تخمين الرمز المكون من 6 أرقام المرسل بينالمليون وبعض الاحتمالات.
سيكون الحل الأكثر فعالية للمتسلل هو استخدام طريقة القوة الغاشمة. لقد توقعت شركة Apple هذا الاحتمال وتمنع أي محاولة لذلكالحد من عدد المحاولات إلى 5. بالإضافة إلى ذلك، لا يمكن أن يتجاوز عدد الطلبات من نفس عنوان IP 6. في المجمل، سيحتاج الشخص الخبيث إلى ذلك28000 عنوان IP مختلفإلى "bruteforce" الرمز المكون من 6 أرقام الذي تم إرساله بواسطة iCloud. وأخيرا، لتعزيز أمن منصتها،تحظر Apple جميع الطلبات الواردة من الخدمة السحابيةمثل Amazon Web Services وGoogle Cloud.
ولكن في الواقع، كما اكتشف لاكسمان موثيا، ليست جميع الخدمات السحابية محظورة، وهو مايفتح الباب أمام محاولات القوة الغاشمة."يجب علينا أولاً تجاوز الرمز المكون من 6 أرقام من الرسالة النصية القصيرة ثم الرمز المكون من 6 أرقام المستلم في عنوان البريد الإلكتروني""، يوضح الباحث."يعتمد كلا الحلين على نفس الطريقة والبيئة، لذلك لا نحتاج إلى تغيير أي شيء عندما نحاول الحل البديل الثاني". يشير لاكسمان إلى ذلكحتى المصادقة الثنائية لا يمكنها فعل أي شيء حيال هذا الخلل، رغم أنه يعترف بذلك"الهجوم ليس من السهل تنفيذه."
في نفس الموضوع:Windows 10 — قد يصيبك iTunes وiCloud ببرامج الفدية، قم بتحديثهما!
وحذر الباحث شركة آبل على الفور من الثغرة الأمنية، في يوليو 2020.ولم يتم تصحيحه إلا في شهر أبريل من هذا العامدون إبلاغ لاكسمان."كانت أقلية صغيرة جدًا من الحسابات معرضة للخطر، وكان عدد قليل جدًا من مستخدمي أجهزة Apple معرضين للخطر".انتهى الأمر بشركة كوبرتينو بإخباره بإضافة ذلك"يعمل هذا الهجوم فقط ضد حسابات Apple ID التي لم يتم استخدامها مطلقًا لتسجيل الدخول على جهاز iPhone أو iPad أو Mac محمي بكلمة مرور".
وقللت شركة أبل من خطورة الوضع
المبرر الذي يترك لاكسمان موثية غير متأثر. ووفقا له،تم تصحيح الخلل في أكتوبر 2020، بعد أشهر قليلة من تنبيهه. تقول شركة Apple إن ثغرة التحقق من صحة كلمة المرور لم تكن موجودة على الإطلاق، لكن الباحث متأكد من أنه تم إجراء تحديث بعد الإبلاغ عنها.
"إذا قاموا بإصلاحها بعد تقريري، أصبحت الثغرة الأمنية أكثر خطورة مما كنت أعتقد في البداية. من خلال تحديد كلمة المرور بواسطة Bruteforce، سنكون قادرين على تحديد رمز الوصول الصحيح عن طريق التمييز بين الاستجابات. لذلك لا يمكننا التحكم في أي حساب على iCloud فحسب، بل نكتشف أيضًا رمز جهاز Apple المرتبط به ».
وسواء سعت شركة آبل إلى إخفاء خطورة الخلل عن مستخدميها أم لا، تظل الحقيقة أنها اختفت. ولذلك من الصعب معرفة ما إذا كانت تصريحات لاكسمان موثية صحيحة. ويدعي الأخير أن أبل عرضت عليه18 ألف دولار مقابل تقريرهوهو المبلغ الذي رفضه، معتبرًا أنه منخفض جدًا بالنسبة لمدى الضعف.
مصدر :أسبوع الأمن
اسأل عن أحدث لدينا!
هناك خلل كبير في جهاز تعقب GPS هذا يكشف البيانات الشخصية لآلاف المستخدمين
تعد خدمات تتبع نظام تحديد المواقع العالمي (GPS) بحماية ممتلكاتك وأحبائك، لكنها ليست آمنة دائمًا. كشف الاختراق الذي تم اكتشافه مؤخرًا عن معلومات حساسة لمئات الآلاف من المستخدمين، مما يؤكد مرة أخرى المخاطر…
أخبار
دلل نفسك بساعة Apple Watch Series 9 (GPS + Cellular، 45mm) بسعر سحري لعيد الميلاد
تعد Apple Watch Series 9 موضوعًا للكثير قبل عيد الميلاد. خلال عرض لفترة محدودة، تستفيد الساعة المتصلة المتوفرة في طراز GPS + Cellular وتنسيقها مقاس 45 مم من خصم قدره 215 يورو بسعر...
الكائنات المتصلة
ستقدم شركة Bouygues Telecom جهاز Wi-Fi 7 الجديد في يناير 2025، وانتهى التشويق
قررت شركة Bouygues Telecom أخيرًا وضع حد للتشويق. يخطط المشغل لتقديم جهاز Wi-Fi 7 الجديد في 16 يناير 2025 خلال مؤتمر صحفي. وكما تعلمون، في نوفمبر الماضي، قام المدير العام…
بويج للاتصالات
في أي بلد ننام بشكل أفضل في عام 2024؟ من هو الأكثر توتراً؟ هنا هو الترتيب
تكشف الشركة المصنعة للحلقات المتصلة Oura عن تقريرها لعام 2024، والذي تصنف فيه البلدان وفقًا لمعايير صحية مثل مستوى التوتر أو عدد الخطوات التي يتم اتخاذها يوميًا أو جودة النوم. إذن الحكم؟…
الملحقات المتصلة
قد تعرض كاميراتك المتصلة بياناتك للخطر، وإليك السبب
أصبحت الكاميرات المتصلة ضرورية لتأمين منازلنا، لكنها لا تخلو من المخاطر. وبحسب ما ورد كشف أحد التطبيقات الشائعة المستخدمة لإدارة هذه الأجهزة عن ملايين البيانات الحساسة. ومن المحتمل أن يؤدي هذا إلى تعريض خصوصية الآلاف…
أتمتة المنزل
خصم يصل إلى 1300 يورو على تلفزيون Samsung The Frame لعام 2024، سريعًا!
إنها المرحلة الأخيرة قبل عيد الميلاد. إذا كنت تخطط لشراء تلفزيون جديد في نهاية العام، فإن سامسونج تقدم تخفيضات كبيرة في الأسعار على مجموعة The Frame لعام 2024، حيث تقدم لك العلامة التجارية ما يصل إلى 1300 يورو.
تلفزيون
مقلاة Ninja PRO الخالية من الزيت بسعر مخفض بفضل هذا الرمز الترويجي الحصري
إليك صفقة رائعة يمكنك الحصول عليها من مقلاة خالية من الزيت من ماركة Ninja! في نهاية عام 2024، يستفيد Ninja PRO بسعة تزيد عن 4.5 لترًا من تخفيض جيد قدره 55 يورو...
خطط بونس
Android 16: ستتمكن التطبيقات من تحديد ما إذا كان يجب على الذكاء الاصطناعي الكتابة لك أم لا
يوفر الإصدار الجديد من Android نظامًا للتحكم بشكل أكثر دقة فيما إذا كان يجب على الذكاء الاصطناعي الكتابة لك في بعض تطبيقات الهاتف المحمول. وهنا كيف ستعمل. لقد بدأ للتو تثبيت Android 15 على جميع الهواتف الذكية المتوافقة، ومع ذلك...
أندرويد
مشتركو Orange، برامج ديزني متضمنة في عروضكم مجاناً
تعلن شركة Orange عن توقيع شراكة مع شركة Walt Disney مما يعود بفوائد عديدة على المشتركين. هذا ما يحق لعملاء المشغل الحصول عليه. ديزني هي أكثر بكثير من المتنزهات الترفيهية الشهيرة...
البرتقالي
سيساعدك Google Chrome على اكتشاف المواقع الاحتيالية باستخدام الذكاء الاصطناعي
تختبر Google ميزة جديدة لتحسين الأمان عبر الإنترنت. ومن خلال الاستفادة من الذكاء الاصطناعي، يستطيع Chrome قريبًا فحص المواقع المشبوهة وتحذير المستخدمين من التهديدات المحتملة. أصبحت عمليات الاحتيال عبر الإنترنت أكثر تعقيدًا….
حماية