تحذير من ثغرات خطيرة تهاجم نظام التشغيل iOS

اكتشفت شركة EVA Information Security للأمن السيبراني والاختبار ومقرها إسرائيل خللًا في Cocoapods، وهو مدير اعتماد واسع الاستخدام لمشاريع البرمجيات المشفرة بلغات البرمجة Swift و Objective-C.

يعد Dependency Manager أداة مهمة في عملية تطوير البرامج، حيث يسمح بالمصادقة والتوقيع التشفيري لحزم البرامج. لذلك، فإن أي مشكلة مع مثل هذه الأداة من شأنها أن تؤثر سلبًا على العديد من أجزاء البرنامج أو الويب.

وفقًا لشركة EVA Information Security، ربما كانت المشكلة موجودة منذ عام 2014، نتيجة لهجرة خادم Cocoapods الفاشلة التي تركت آلاف حزم مكتبات البرامج غير مرتبطة بملفات المصدر الأصلية الخاصة بها وغير قادرة على تتبعها إلى مصدرها. هذه ثغرة تسمح للمهاجمين باستبدال الكود المصدر الأصلي بالكود الضار الخاص بهم.

وقال ممثل الشركة "بسبب عيوب أمن النظام، يمكن أن يختطف الأشرار هذه الحزم ثم يستخدمونها لحقن البرامج الضارة في أدوات تطوير البرامج للمطورين. ولأنها لم يتم اكتشافها لفترة طويلة، فهذا يعني أن آلاف التطبيقات وملايين الأجهزة تعرضت للخطر على مر السنين".

مع قدرة العديد من التطبيقات على الوصول إلى معلومات المستخدم الحساسة مثل بطاقات الائتمان والسجلات الطبية والمستندات الخاصة، يمكن للمتسللين استغلال الثغرات الأمنية أو تثبيت برامج الفدية أو أنواع أخرى من البرامج الضارة لجمعها.

تعتقد شركة EVA Information Security أن شركة Apple "في مركز الفوضى" عندما يتم برمجة معظم تطبيقات iOS وmacOS بلغات Swift و Objective-C، بما في ذلك الأسماء الشهيرة مثل TikTok و Snapchat و LinkedIn و Netflix و Microsoft Teams و Facebook و Messenger.

ونتيجة لذلك، قد تتأثر آلاف التطبيقات على هذه المنصات. قد يؤدي الهجوم على نظام تطبيقات الهاتف المحمول إلى إصابة معظم أجهزة Apple، مما يجعل آلاف المؤسسات عرضة للخطر ماليًا وسمعة.

وتشير التقارير إلى أن هذه الأخطاء قد تم إصلاحها بواسطة Cocoapods، ولكن حقيقة أنها لم يتم اكتشافها لمدة عقد من الزمان تقريبًا أمر يدعو للقلق. توصي شركة EVA Information Security المطورين بمراجعة كود مصدر منتجهم لتحديد ما إذا كان البرنامج عرضة للأخطاء.

ولم تعلق شركة أبل على هذه الأخبار حتى الآن.