نيويورك: وكالات
حلل فريق مكوّن من خمسة باحثين أمنيين العديد من برامج شركة آبل وخدماتها عبر الإنترنت لمدة ثلاثة أشهر امتدت بين شهري تموز وأيلول.
ووجد الفريق ما يصل إلى 55 نقطة ضعف، 11 منها بالغة الخطر، و29 منها ذات درجة عالية الخطورة، و 13 منها متوسطة الخطورة، و 2 منها منخفضة الخطورة.
وقال الفريق: تسمح العيوب للمهاجم بخرق تطبيقات العملاء والموظفين بشكل كامل، وإطلاق برمجية ضارة قادرة على الاستيلاء تلقائيًا على حساب آيكلاود للضحية.
وأضاف: كما تسمح باسترداد التعليمات البرمجية المصدرية لمشاريع آبل الداخلية، واختراق برنامج مستودع التحكم الصناعي الذي تستخدمه آبل، والتحكم بجلسات موظفي آبل مع إمكانية الوصول إلى أدوات الإدارة والموارد الحساسة.
وتعني العيوب أن بإمكان المهاجم اختطاف حساب آيكلاود للمستخدم بسهولة، وسرقة جميع الصور ومعلومات التقويم ومقاطع الفيديو والمستندات، بالإضافة إلى إعادة توجيه الاستغلال نفسه إلى جميع جهات الاتصال. واتخذت الشركة المصنعة لهواتف آيفون خطوات لإصلاح العيوب في غضون فترة قصيرة، بعد أن تم الكشف عنها بشكل مسؤول لشركة آبل.
وعالجت آبل حتى الآن نحو 28 نقطة من نقاط الضعف، ودفعت مبلغًا إجماليًا يصل إلى 288500 دولار كجزء من برنامج مكافآت
الأخطاء. وسمح أحد نطاقات آبل المتأثرة (ade.apple.com) بتجاوز المصادقة باستخدام كلمة مرور افتراضية، مما أتاح للمهاجم الوصول إلى وحدة تحكم المسؤول وتنفيذ التعليمات
البرمجية. وتسبب خلل مرتبط بتطبيق يسمى (DELMIA Apriso)، وهو حل لإدارة المستودعات، بالسماح بتعديل الشحنات ومعلومات المخزون، والتحقق من صحة شارات الموظفين، والسيطرة الكاملة على البرنامج. وتم اكتشاف ثغرة أمنية منفصلة أيضًا في خدمة (Apple Books for Authors) التي يستخدمها المؤلفون للمساعدة في كتابة كتبهم ونشرها عبر منصة (Apple Books).
ومن بين المخاطر الهامة الأخرى التي كشف عنها الباحثون تلك التي نشأت عن ثغرة في البرمجة النصية عبر المواقع (XSS) في مجال (www.icloud.com). وكانت ثغرة (XSS) قابلة للنشر بسهولة عن طريق إرسال بريد إلكتروني مشابه إلى كل عنوان (iCloud.com) أو (Mac.com) مخزن في جهات اتصال الضحية.