كانت إحدى أفضل أدوات إنتاجية iOS من Apple بها ثغرة أمنية مثيرة للقلق، لذا قم بالتصحيح الآن – TechToday
النشرة الإخبارية
Sed ut perspiciatis unde.
حذر الخبراء من أن تطبيق إنتاجية iOS الشهير كان معيبًا بطريقة سمحت لممثلي التهديد بسرقة البيانات الحساسة من الجهاز الضعيف.
يُطلق على التطبيق المعني اسم Apple Shortcuts، وهو بمثابة أداة صغيرة أنيقة لتوفير الوقت تسمح للتطبيقات بالتفاعل مع بعضها البعض في مهام محددة وبالتالي إنشاء إجراءات مفيدة، مثل استخدامها لتحديد موقع المستخدم وحساب مقدار الوقت الذي ستستغرقه العودة إلى المنزل وإرسال تلك المعلومات عبر الرسائل القصيرة إلى جهة اتصال.
الآن، أخبار الهاكر تشير التقارير إلى أن الاختصارات تحمل عيبًا شديد الخطورة يسمح لأفراد مجهولين بالوصول إلى المعلومات الحساسة المخزنة على الجهاز دون موافقة المستخدم. تم تتبع الثغرة على أنها CVE-2024-23204، وحصلت على درجة خطورة تبلغ 7.5.
تجاوز أمان البريد الإلكتروني
وقالت شركة أبل في الاستشارة المنشورة مع تصحيحها للخلل: “قد يتمكن الاختصار من استخدام بيانات حساسة مع إجراءات معينة دون مطالبة المستخدم”. تم إصلاح الثغرة الأمنية من خلال “التحقق من الأذونات الإضافية”.
في حين أن تفسير شركة Apple قد يكون نظريًا بحتًا، إلا أن تفسير الباحث الأمني في Bitdefender Jubaer Alnazi Jabin هو أكثر عملية. قال Jabin، الذي كان هو من أبلغ شركة Apple عن الخلل في المقام الأول، إنه يمكن إساءة استخدام الخلل لإنشاء اختصار ضار قادر على التغلب على سياسات الشفافية والموافقة والتحكم (TCC) – إطار عمل حماية البيانات الخاص بشركة Apple.
وفي شرحه لكيفية عمل الخلل، قال جابين إن الاختصارات لها إجراء يسمى “توسيع عنوان URL”، والذي يعمل على توسيع عناوين URL المختصرة ومسحها من علامات UTM.
وقال جابين: “من خلال الاستفادة من هذه الوظيفة، أصبح من الممكن نقل بيانات الصورة المشفرة بـ Base64 إلى موقع ويب ضار”. “تتضمن الطريقة تحديد أي بيانات حساسة (الصور وجهات الاتصال والملفات وبيانات الحافظة) داخل الاختصارات، واستيرادها، وتحويلها باستخدام خيار تشفير base64، وإعادة توجيهها في النهاية إلى الخادم الضار.”
يمكن بعد ذلك حفظ البيانات كصورة عبر Flask. وقال الباحث: “يمكن تصدير الاختصارات ومشاركتها بين المستخدمين، وهي ممارسة شائعة في مجتمع الاختصارات”. “تعمل آلية المشاركة هذه على توسيع النطاق المحتمل للثغرة الأمنية، حيث يقوم المستخدمون دون قصد باستيراد اختصارات قد تستغل CVE-2024-23204.”
المزيد من TechRadar Pro
اكتشاف المزيد من موقع علم
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
