أصلحت شركة آبل خللا في تطبيق كلمات المرور “باسووردس” (Passwords) في نظام “آي أو إس 18.2” (iOS 18.2) والذي تسبب بهجمات تصيد احتيالي طالت المستخدمين على مدى 3 أشهر بدءا من إصدار “آي أو إس 18″، وفقا لتحديث أمني من آبل رصده موقع “9 تو 5 ماك” (9to5mac).
وبعد أن ألغت آبل أداة إدارة كلمات المرور “كيتشين” (Keychain) في نظام “آي أو إس 18” ودمجتها في تطبيق مستقل يدعى “باسووردس”، ظهرت ثغرة أمنية ناتجة عن خلل في بروتوكول “إتش تي تي بي” (http)، جعلت مستخدمي التطبيق عرضة لهجمات التصيد الاحتيالي.
وأول من اكتشف هذه الثغرة باحثو الأمن في “ميسك” (Mysk)، فقد لاحظوا أن تقرير خصوصية التطبيق على أجهزة آيفون أظهر 130 اتصالا غير آمن من تطبيق “باسووردس” عبر بروتوكول “إتش تي تي بي”.
وتبين أن التطبيق لم يكن يجلب فقط إشعارات الحسابات أو الأيقونات عبر هذا البروتوكول، بل كان يفتح صفحات إعادة تعيين كلمات المرور بشكل افتراضي باستخدام بروتوكول غير مشفر مما جعل المستخدمين عرضة للخطر.
ويمكن لمهاجم لديه وصول إلى الشبكة استغلال الثغرة واعتراض طلبات “إتش تي تي بي” لإعادة توجيه المستخدم إلى موقع تصيد احتيالي.
وعلق موقع “ميسك” على الحادثة قائلا: “لقد فوجئنا بأن آبل لم تفرض بروتوكول “إتش تي تي بي إس” (https) لتطبيق حساس مثل هذا. يجب أن توفر آبل خيارا للمستخدمين المهتمين بالأمان لتعطيل تنزيل الرموز، لأنه من غير المريح أن يرسل مدير كلمات المرور في آيفون إشعارات لكل موقع ويب تحتفظ بكلمة مرور له، ورغم هذا الخلل فإن الطلبات التي يرسلها التطبيق لا تحوي على أي معرف يحدد هوية صاحب الطلب”.
ومن الجدير بالذكر أن معظم مواقع الويب تسمح بالاتصالات غير المشفرة عبر “إتش تي تي بي” ولكنها تُعيد توجيهها تلقائيا إلى بروتوكول “إتش تي تي بي إس” المشفر، وتطبيق “باسووردس” من آبل كان يخضع لنفس العملية حيث تحدث تغييرات كلمة المرور على صفحة مشفرة مما يضمن عدم إرسال بيانات الاعتماد كنص عادي.
ولكن في حال كان المهاجم متصلا بنفس الشبكة مثل شبكة “واي فاي” في مقهى أو مطار أو فندق واعترض طلب “إتش تي تي بي” قبل إعادة توجيهه، فإنه سيتمكن من التلاعب بحركة المرور وجمع بيانات الاعتماد من الضحايا بسهولة وحتى شن هجمات سيبرانية أخرى.
ورغم أن آبل أصلحت الثغرة بهدوء في شهر ديسمبر/كانون الأول الماضي، فإنها لم تكشف عنها إلا خلال الـ24 الساعة الماضية، وأصبح تطبيق “باسووردس” يستخدم بروتوكول “إتش تي تي بي إس” في جميع اتصالاته.
