أخطاء جديدة مفتوحة المصدر تترك آلاف تطبيقات iOS عرضة للاختراق

قد تؤدي سلسلة من الثغرات الأمنية المكتشفة حديثًا في أداة برمجية مفتوحة المصدر مستخدمة على نطاق واسع إلى حدوث مشكلة كبيرة لأجزاء كبيرة من الأنظمة البيئية iOS وMacOS. يمكن أن تؤثر الأخطاء المعنية على الآلاف من التطبيقات المستخدمة على نطاق واسع، بما في ذلك البرامج الشائعة مثل TikTok وSnapchat وLinkedIn وNetflix وMicrosoft Teams وFacebook Messenger وغيرها الكثير، وفقًا لما ذكره موقع “the verge”. البحوث الأمنية ذات الصلة. على الرغم من تصحيح المكونات مفتوحة المصدر نفسها، فمن المؤكد أن فرق DevOps المعنية بالتطبيقات المتأثرة تسعى جاهدة لضمان تحديث أنظمتها بشكل صحيح لحماية المستخدمين من الاستغلال المحتمل.

تم اكتشاف نقاط الضعف في كوكوابودس، مدير التبعية يستخدم على نطاق واسع لمشاريع البرمجيات المشفرة بلغات البرمجة Swift وObjective-C. يعد مديرو التبعيات أدوات حيوية في عملية تطوير البرامج، مما يسمح بالتحقق من صحة حزم البرامج وتوقيعها المشفر. من الواضح أن فساد مثل هذه الأداة له آثار كبيرة (وسيئة) على أجزاء كبيرة من الويب.

البق Cocoapods تم اكتشافها من قبل باحثين في شركة EVA Information Security، وهي شركة للأمن السيبراني والاختراق. هذه الأخطاء هي نتيجة لعملية ترحيل غير كاملة لخادم Cocoapods التي حدثت في عام 2014، والتي تسببت أمثالها في “عزل” الآلاف من حزم البرامج. نظرًا لأوجه القصور الأمنية في النظام، كان من الممكن بسهولة الاستيلاء على هذه الحزم من قبل ممثل سيئ واستخدامها (افتراضيًا) لارتكاب هجمات على سلسلة التوريد التي يمكن أن تقدم تحديثات تعليمات برمجية ضارة لمشاريع برامج الشركة التي تعتمد عليها. قام الباحثون بتحليل الوضع على النحو التالي:

تركت عملية الترحيل في عام 2014 آلاف الحزم المعزولة (حيث المالك الأصلي غير معروف)، ولا يزال الكثير منها يستخدم على نطاق واسع في المكتبات الأخرى. باستخدام واجهة برمجة تطبيقات عامة وعنوان بريد إلكتروني كان متاحًا في كود مصدر CocoaPods، يمكن للمهاجم المطالبة بملكية أي من هذه الحزم، مما سيسمح للمهاجم بعد ذلك باستبدال كود المصدر الأصلي بشفرة ضارة خاصة به… اكتشفنا إمكانية استخدامها للتحكم في مدير التبعية نفسه وأي حزمة منشورة. قد تعني التبعيات النهائية أن آلاف التطبيقات وملايين الأجهزة قد تم كشفها خلال السنوات القليلة الماضية.

وقد تم تصحيح الأخطاء الثلاثة منذ ذلك الحين، ولكن خطورتها، وحقيقة تركها مكشوفة لمدة تصل إلى تسع سنوات، من المؤكد أنها تجعل الكثير من فرق البرمجيات مستيقظين طوال الليل. السبب وراء وجود Apple في مقدمة ووسط هذه الفوضى هو أن العديد من تطبيقات iOS وMacOS يتم ترميزها باستخدام كليهما سويفت و ج موضوعية اللغات، مما يجعلها عرضة بشكل خاص للقضايا المطروحة. يكتب الباحثون أن الأخطاء يمكن أن تؤثر على “الآلاف” أو “الملايين” من التطبيقات، وأن “الهجوم على النظام البيئي لتطبيقات الهاتف المحمول يمكن أن يصيب كل جهاز Apple تقريبًا، مما يترك آلاف المؤسسات عرضة لأضرار مالية كارثية وأضرار في السمعة”.

ويقول الباحثون إنهم لم يروا أي دليل حتى الآن يشير إلى أن التطبيقات قد تم اختراقها بالفعل. ومع ذلك، إذا كان البعض كذلك، فمن الواضح أنه قد يسبب مشكلة كبيرة للمستخدمين. لاحظ الباحثون أنه نظرًا لأن العديد من التطبيقات يمكنها “الوصول إلى المعلومات الأكثر حساسية للمستخدم: تفاصيل بطاقة الائتمان، والسجلات الطبية، والمواد الخاصة”، يمكن لمجرم إلكتروني أن يحقن تعليمات برمجية في التطبيقات عبر الكبسولات المخترقة، مما يمكّنهم من “الوصول إلى هذه المعلومات لأي برمجيات خبيثة تقريبًا”. لغرض يمكن تخيله – برامج الفدية، والاحتيال، والابتزاز، والتجسس على الشركات.

وقد حث الباحثون مطوري الشركات على مراجعة منتجاتهم و”التحقق من سلامة التبعيات مفتوحة المصدر المستخدمة في كود التطبيق الخاص بهم”، وبالتالي ضمان عدم كشف أنظمتهم وعملائهم.

ال أوجه القصور الأمنية التي يمكن أن تنشأ في البرمجيات مفتوحة المصدر معروفون جيدا. تعتمد صناعة البرمجيات التجارية على البرمجيات الحرة والمفتوحة المصدر لبناء منتجاتها التجارية، ولكن القليل من الوقت يُنفق على دعم وتأمين النظام البيئي للبرمجيات الحرة الذي بُني عليه الإنترنت بالكامل. النتائج النهائية، كما هو متوقع، ليست جيدة.

تواصلت Gizmodo مع شركة Apple للتعليق وسوف تقوم بتحديث هذه القصة إذا استجابت.