كتب_عبدالعزيز خلف
في وقت سابق من هذا العام، قامت شركة “اَبل” بتصحيح ثغرة أمنية خطيرة في نظام التشغيل iOS كان من الممكن أن تسمح للمهاجمين بالتحكم الكامل عن بُعد في أي جهاز ايفون ضمن نطاق شبكة الواي-فاي. وبالرغم من إصلاح الخلل منذ أشهر، فإن التفاصيل حوله قليلة حتى الآن.
في منشور مدون لا يقل عن 30000 كلمة، وصف الباحث في “Google Project Zero”، “اَيان بير” كيف ابتكر على مدار ستة أشهر، استغلالًا من موجات الراديو المقربة يمنحه سيطرة كاملة على الايفون في المنطقة المجاورة له. وسمح له التطبيق الاستغلال بالوصول إلى جميع البيانات المخزنة على الجهاز، بما في ذلك الصور ورسائل البريد الإلكتروني والرسائل الخاصة وكلمات مرور، ومراقبة كل ما يحدث على الجهاز.
وتسمح هذه الثغرة لأي هجمات من إستغلالها حيث يمكن أن تنتشر من جهاز إلى جهاز دون الحاجة إلى تفاعل المستخدم.
ومع ذلك، أضاف “بير” أنه لا يوجد دليل يشير إلى أن الضعف قد تم استغلاله بشكل فعلي.
ويكمن الخلل في بروتوكول Apple Wireless Direct Link (AWDL) ، الذي يستخدم لاتصالات شبكة نظير إلى نظير بين أجهزة iOS وفي ميزات مثل AirDrop أو SideCar. ووصفه “بير” بأنه “خطأ برمجي تافه إلى حد ما في تجاوز سعة المخزن المؤقت في كود C ++ في تحليل النواة للبيانات غير الموثوق بها، والمعرضة للمهاجمين عن بُعد.” وأضاف أن الاستغلال بأكمله يستخدم ثغرة واحدة فقط تتعلق بفساد الذاكرة، والتي استغلها في اختراق جهاز “ايفون 11 برو”.
وفي سلسلة من التغريدات، أوضح “بير” أنه يمكن تمديد نطاق ومسافة الهجمات باستخدام المعدات المتاحة بسهولة:
قائلاً “يتم تمكين AWDL افتراضيًا، مما يؤدي إلى سطح هجوم كبير ومعقد عبر الراديو القريب. ومع المعدات المتخصصة، ويمكن أن يصل مدى الراديو إلى مئات الأمتار أو أكثر. لا تحتاج إلى إعدادات كبيرة. يستخدم هذا الاستغلال Raspberry Pi واثنين من محولات الواي-فاي الجاهزة فقط وبتكلفة إجمالية أقل من 100 دولار”. وبينما يتم تمكين AWDL افتراضيًا، وجد “بير” طريقة لتمكينه عن بُعد حتى إذا تم إيقاف تشغيله عبر استخدام نفس الهجوم.
أبلغ “بير” شركة “اَبل” عن الضعف منذ عام تقريبًا. وتم إصلاح الخلل كـ CVE-2020-3843 في iOS 13.1.1 / MacOS 10.15.3 في يناير من هذا العام. وأضاف من الآمن أن نقول إن الغالبية العظمى من مستخدمي iOS يشغلون أحد الإصدارات المحدثة. وعلى أي حال، إذا لم يكن جهازك محدث حتى وقتنا الحالي، فافعل ذلك بنفسك وقم بتطبيق التحديثات في أقرب وقت ممكن.
قامت “اَبل” أيضًا بتصحيح ثلاثة عيوب تم استغلالها بنشاط في الشهر الماضي، وتم الإبلاغ عنها أيضًا بالمصادفة، بواسطة باحثو Google Project Zero.