اكتشف باحثون أمنيون ثغرة خطيرة في تطبيق Passwords الجديد على iOS 18، والذي يعد أول محاولة من آبل لجعل إدارة كلمات المرور أكثر سهولة للمستخدمين. هذه الثغرة، التي استمرت لمدة ثلاثة أشهر قبل إصلاحها في تحديث iOS 18.2، جعلت المستخدمين عرضة لهجمات التصيد الاحتيالي عند استخدام التطبيق.
ما هي الثغرة؟
وفقًا لفريق البحث Mysk، كان تطبيق Passwords يقوم بالاتصال بـ 130 موقعًا مختلفًا عبر بروتوكول HTTP غير المشفر، بدلاً من استخدام HTTPS الآمن.
لم تقتصر المشكلة على تحميل أيقونات المواقع عبر HTTP، بل كانت روابط إعادة تعيين كلمات المرور تُفتح أيضًا عبر هذا البروتوكول غير الآمن، مما سمح للمهاجمين على نفس الشبكة باعتراض البيانات وإعادة توجيه المستخدمين إلى مواقع تصيد احتيالي.
هذا يعني أن أي مستخدم كان يحاول استعادة كلمة مروره عبر التطبيق قد يتم تحويله إلى موقع مزيف يشبه صفحة تسجيل دخول حقيقية، مثل live.com من مايكروسوفت، حيث يمكن للمهاجمين سرقة بيانات تسجيل الدخول بسهولة.
لماذا تعتبر هذه الثغرة خطيرة؟
معظم المواقع الحديثة تدعم HTTP ولكنها تُعيد التوجيه تلقائيًا إلى HTTPS باستخدام إعادة توجيه 301، ولكن المشكلة تكمن في أن المهاجمين يمكنهم اعتراض الاتصال قبل حدوث هذا التوجيه، خاصة عند الاتصال عبر شبكات Wi-Fi العامة في المطارات، المقاهي، والفنادق.
بمجرد تنفيذ الهجوم، يمكن للقراصنة سرقة كلمات المرور أو حتى تنفيذ هجمات أكثر تعقيدًا على الجهاز.
كيف قامت آبل بحل المشكلة؟
تم تصحيح الثغرة بهدوء في ديسمبر الماضي ضمن تحديث iOS 18.2، ولكن آبل لم تعلن عن المشكلة رسميًا إلا خلال الأيام الماضية. الآن، أصبح تطبيق Passwords يستخدم اتصالات HTTPS فقط بشكل افتراضي، مما يمنع تنفيذ مثل هذه الهجمات.
إذا كنت تستخدم التطبيق، فتأكد من تحديث جهازك إلى iOS 18.2 أو أحدث لضمان الأمان!
لا تدع هذا الخبر يمر دون وعي أمني، شارك هذه المعلومات لحماية الآخرين من هجمات التصيد الاحتيالي!
ابدأ المناقشة في forum.mjbtechtips.com