ثغرة خطيرة في متصفحات «آبل» المحمولة

12-08-2020, 05:15 PM

ثغرة خطيرة في متصفحات «آبل» المحمولة

موجودة أيضاً في «آي ميسج» للدردشة وتؤدي إلى احتمال سرقة البيانات

الثلاثاء - 9 شهر ربيع الثاني 1442 هـ - 24 نوفمبر 2020 مـ

تتسبب الثغرة بمتصفح «سافاري» بتحميل برامج ضارة

جدة: خلدون غسان سعيد

توجد ثغرة أمنية تستطيع خداع شريط العناوين في كثير من متصفحات الإنترنت عبر الهواتف الجوالة، ومنها متصفح «سافاري» من «آبل»، بالإضافة إلى متصفحات «UCWeb» و«Open Touch» و«Yandex» و«Bolt» و«RITS»، وغيرها، وذلك لفتح الأبواب الرقمية أمام هجمات التصيد الاحتيالي والبرمجيات الضارة.

نص خبيث
سبب المشكلة هو استخدام نص «جافا سكريبت» خبيث يمكن تنفيذه من موقع إلكتروني، وذلك بهدف إجبار المتصفح على تحديث شريط العناوين خلال عملية تحميل الصفحة إلى عنوان آخر من اختيار المهاجم. وتحدث هذه الثغرة الأمنية بسبب احتفاظ متصفح «سافاري» بشريط عنوان المواقع عند الطلب عبر منفذ عشوائي، ومعاودة تفعيل وظيفة الفاصل الزمني المحدد تحميل عنوان «bing.com:8080» كل 2 ملي ثانية، ليتعذر على المستخدم التعرف على إعادة التوجيه من عنوان الموقع الأصلي إلى العنوان الخبيث.
ويمكن للمهاجم بناء صفحة إنترنت ضارة وحث الآخرين على فتح الرابط من رسالة بالبريد الإلكتروني أو رسالة نصية مخادعة، مثلاً، الأمر الذي يؤدي إلى تحميل جهاز المستخدم برامج ضارة دون علمه، أو المخاطرة بسرقة بياناته وهويته الرقمية. كما يمكن إساءة استخدام هذه الميزة لنشر الأخبار الكاذبة.
وعند تصفح صفحات الويب، مثل المقالات الإخبارية في متصفح الويب «سفاري» عبر جهاز «آيفون» أو «آي باد»، يمكن للمستخدمين اختيار مشاركة نص جزئي مقتطف من الصفحة بدلاً من الصفحة بأكملها. ومع ذلك، يمكن أن يأتي النص المقتطف أيضاً من حقل إدخال نصي يمكن للمستخدم التحكم به وتحريره. ولدى مشاركة المحتوى المقتطف من الصفحة مع مستخدمي «آيفون» آخرين عبر برنامج التراسل «آي ميسج (iMessage)» الخاص بأجهزة «آبل»، فإن معاينة الرابط التي جرى إنشاؤها تحتوي على قيمة هذا النص المشترك نفسه بدلاً من العنوان الأصلي لصفحة الإنترنت. وبمعنى آخر، يمكن كتابة نصوص عشوائية في حقل شريط البحث لمواقع الإنترنت الإخبارية، ثم مشاركة هذه القيمة النصية عبر برنامج التراسل «آي ميسج». وتؤدي معاينة الرابط التي جرى إنشاؤها عبر برنامج التراسل «آي ميسج» إلى إعطاء الانطباع بشكل خاطئ، كما لو كان النص الذي أنشأه المستخدم هو العنوان الفعلي للصفحة. ولا يوجد حالياً ما يمنع المستخدم من كتابة عنوان مضلل أو نص مضلل آخر في حقل ما، وجعله جزءاً من معاينة الصفحة.

أجهزة «آبل»

ويمكن ملاحظة هذا السلوك على وجه التحديد عندما يجري استخدام أجهزة «آبل» بوضعها الأفقي، ولدى مشاركة الروابط عبر برنامج التراسل «آي ميسج» بين مستخدمي «آيفون» وليس «آندرويد». وبناء على ذلك، فإن مشاركة المحتوى من «آيفون» إلى «آندرويد» لن تؤدي إلى هذا السلوك الخبيث، أي إن هذه الثغرة تصيب الأجهزة المحمولة التي تستخدم متصفح «سافاري»، مثل «آيفون» و«آيباد»، وغيرهما. هذه الثغرة موجودة أيضاً في متصفح «سافاري» على نظام التشغيل «ماك أو إس»، خصوصاً لمن لم يقم بتحديثه مؤخراً.
ويجب على جميع مستخدمي «iMessage» توخّي الحذر، حيث يمكن استخدام الخلل وسيلة لإقناع المستثمرين الماليين بشراء أو بيع الأسهم بناء على عناوين كاذبة. وجرى الإعلان عن هذه المشكلة في وقت مبكر من عام 2019، إلا إن «آبل» تستمر بشحن الأجهزة التي تعمل بنظام التشغيل «آي أو إس» والتي لم يتم سد هذه الثغرة فيها.
يذكر أن متصفح «سافاري» كان قد احتوى على ثغرة أمنية مشابهة في عام 2018 تسببت في احتفاظ المتصفح بشريط العناوين وتحميل المحتوى من الصفحة المخادعة من خلال تأخير التوقيت الناجم عن نصوص «جافا سكريبت».
ومع التطور المستمر في هجمات التصيد، فإن استغلال الثغرات التي تستند إلى المتصفح (مثل انتحال شريط العنوان) قد يؤدي إلى تفاقم نجاح هجمات التصيد. ومن السهل إقناع الضحية بسرقة بياناته أو توزيع البرامج الضارة عندما يشير شريط العنوان إلى صفحة إنترنت موثوق بها ولا يعطي أي مؤشرات للتزوير، وبالنظر إلى أن الثغرة الأمنية تستغل ميزة معينة في المتصفح، فيمكنها تجنب كثير من برامج مكافحة الفيروسات التي لن تلتفت إلى تصرف متصفح رسمي.

12-08-2020, 09:36 PM

شكرا على الموضوع المفيد
بارك الله في جهودك

وأسال الله لك التوفيق دائما
ونفعا الله وإياك بما تقدمه

نقره لعرض الصورة في صفحة مستقلة

12-09-2020, 01:37 AM

شكرا على مجهودك الرائع
جزاك الله خيرا
لاعدمنا حضوركم المميز

12-11-2020, 05:52 PM

اشكركم على زيارتكم لمواضيعي
لكم جل التقدير والود
دمتم بسعاااده
نقره لعرض الصورة في صفحة مستقلة

12-12-2020, 03:34 PM

شكرا على مجهودك الطيب
بارك الله فيك وبعملك
ولك اجمل تحياتي
دمتم بخير

12-12-2020, 09:10 PM

بارك الله فيك على الموضوع
اشكرك جزيل الشكر
كل الموده والتقدير

12-14-2020, 05:14 PM

اشكركم على زيارتكم لمواضيعي
لكم جل التقدير والود
دمتم بسعاااده
نقره لعرض الصورة في صفحة مستقلة

12-14-2020, 09:53 PM

اختنا رهام
سلمت يدك على روعة طرحك
وحسن أختيارك
فحفظك الله ورعاك وبارك فيك

12-15-2020, 05:31 PM

مديرنا الغالي ابو حوفان
أج ــمل وأرق باقات ورودى
لردكم الجميل ومروركم العطر
تــ ح ــياتيـ لكم
كل الود والتقدير
دمتم برضى من الرح ــمن

نقره لعرض الصورة في صفحة مستقلة

12-20-2020, 03:05 PM

شكر على الموضوع
دام لنا عطائكم المميز والجميل
تحياتي الوردية ...
لكـ خالص احترامي

نقره لعرض الصورة في صفحة مستقلة

12-09-2020, 01:37 AM	#3
موقوف	رد: ثغرة خطيرة في متصفحات «آبل» المحمولة شكرا على مجهودك الرائع جزاك الله خيرا لاعدمنا حضوركم المميز

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	الردود	آخر مشاركة
سلة الأخضر بالمجموعة «C» لتصفيات كأس العالم	أبو شريح الشمراني	الرياضة والرياضيين	7	09-03-2021 08:55 PM
إعلان قائمة الأولمبي الكويتي استعدادا لتصفيات آسيا	ليث محمد الشمراني	الرياضة والرياضيين	1	07-04-2021 01:53 PM
المنتخب السعودي يتمسك بصدارته في مجموعته لتصفيات كأس العالم وكاس آسيا	أبو شريح الشمراني	الرياضة والرياضيين	1	06-13-2021 02:42 PM
الاتحاد الآسيوي يستبعد قطر من الدور الثالث لتصفيات المونديال	شذى الياسمين	الرياضة والرياضيين	1	07-31-2019 07:39 PM
مايكروسوفت تصلح ثغرة أمنية موجودة في أنظمة ويندوز منذ 19 سنة !!!!!	سكيورتي	الكمبيوتر والأنترنت	3	04-06-2015 02:50 AM