حذر باحثون في أمن المعلومات جميع مستخدمي الأجهزة العاملة بنظام تشغيل آي او إس، وماك أو اس، من وجود ثغرة أمنية خطيرة في بروتوكول مشاركة الملفات المستخدم في تقنية ابل المعروفة باسم ” اير دروب AirDrop” لنقل وتبادل الملفات بين الأجهزة في المسافات القصيرة، عبر شبكة واي فاي، وقال الباحثون أنه يتعين توخى الحذر الشديد في استخدام هذه التقنية، لكونها تسمح للقراصنة بكسر التأمين الموجود بها، والحصول علي كل البيانات المتداولة من خلال هذا البروتوكول، فضلا عن الوصول الي المعلومات الشخصية وسرقتها.
|
كشف نقطة الضعف المشار إليها فريق من الباحثين بجامعة دارمشتات التقنية بألمانيا، وقال أن كل ما يحتاجه القرصان أو المهاجم هو جهاز يدعم الاتصال عبر شبكة واي فاي، ثم يقترب قليلا من الحاسبات والأجهزة التي تستخدم بروتوكول اير دروب ، ليقوم باستغلال هذه الثغرة الأمنية، ويسطو علي ما يتم تبادله من ملفات، والوصول علي البيانات الشخصية للمستخدمين، مثل عناوين البريد الإلكتروني وأرقام الهواتف وكلمات المرور وغيرها.
اير دروب
خدمة آير دروب هي خدمة مخصصة، موجودة بأنظمة تشغيل أي أو إس وماك أو إس من ابل، ومهمتها نقل الملفات بين الأجهزة من خلال الاستفادة من الاتصال اللاسلكي في المسافات القريبة، وتعتمد في عملها علي شبكات الواي فاي، ولتأمين عملها، لا يظهر بها سوي أجهزة الاستقبال الموجودة في قوام جهات اتصال المستخدمين، من خلال آلية مصادقة تقارن رقم هاتف الفرد وعنوان بريده الإلكتروني بإدخالات في دفتر عناوين المستخدم الآخر، فإذا كان رقم الهاتف وعنوان بريد الالكتروني موجودا تقوم بعملية اقتران للجهاز وإظهار في القائمة، وإذا لم يكن موجودا ترفض الاقتران، إذا ما حدث الاقتران وتمت الموافقة عليه من قبل المستخدم، يمكن بسهولة تبادل ونقل البيانات بين الجهازين.
وفي صفحة الدعم الفني الرسمية الخاصة بهذه التقنية، توصي ابل الجميع بالتأكد من أن الشخص الذي يتم تبادل الملفات معه قريب، وضمن نطاق بلوتوث وواي فاي، مع التأكد من تشغيل واي فاي وبلوتوث لدي الشخصين، إيقاف أي نقطة اتصال شخصية قيد التشغيل، ثم تحقق مما إذا كان الشخص الذي ترسل اليه قد قام بضبط اير دروب لديه علي الاستلام من جهات الاتصال فقط، وان يكون لديهم عنوان البريد الالكتروني الخاص برقم تعريف ابل او رقم الهاتف المحمول في جهة الاتصال الخاصة بك، ويمكنك ضبط إعداد استقبال اير دروب على جهات الاتصال فقط أو “إيقاف الاستلام” في أي وقت للتحكم في من يمكنه رؤية جهازك وإرسال محتوى إليك.
الثغرة الأمنية
أوضح الباحثون أنه “عندما تتم محاولة اتصال بواسطة اير دروب بين المرسل والمستقبل ، فإن المرسل ينقل عبر الهواء رسالة تحتوي على تجزئة أو بصمة رقمية لعنوان البريد الإلكتروني أو رقم الهاتف الخاص بالمستخدم كجزء من مصافحة المصادقة، واستجابةً لذلك ، إذا تم التعرف على المرسل ، يقوم جهاز الاستقبال بإرسال التجزئة مرة أخرى، وجوهر المشكلة متجذر في استخدام ابل لوظائف التجزئة لإخفاء معرفات جهات الاتصال المتبادلة، أي أرقام الهواتف وعناوين البريد الإلكتروني، أثناء عملية الاكتشاف، وهنا مكمن الخطر، حيث يمكن للمهاجم الذي يستقبل على جهازه معرفات جهات الاتصال المجزأة ، أن يقوم بتجميعها وفك رموزها في أجزاء من الثانية، باستخدام تقنيات مثل هجمات القوة الغاشمة، وبالتالي يتعرف علي معلومات المرسلين، ويمكن له ان يتحول الي مرسل، ويقوم بتجميع معرفات جهات الاتصال المجزأة لدي المستقبلين، فيتعرف علي جميع معلوماتهم الشخصية، دون الحاجة إلى أي معرفة المتلقي، أو عمل اقتران به.
الجميع في خطر والحل الايقاف
|
وأضاف الباحثون أنه في سيناريو الهجوم الافتراضي ، يمكن للمدير فتح قائمة مشاركة أو مشاركة مستند من ابل، يمكن استخدامها للحصول على رقم الهاتف أو عنوان البريد الإلكتروني للموظفين الآخرين الذين لديهم تفاصيل الاتصال الخاصة بالمدير مخزنة في دفاتر العناوين الخاصة بهم.
وقال الباحثون أنهم اخطروا أبل بالمشكلة في وقت مبكر في مايو 2019، ثم مرة أخرى في أكتوبر 2020، بعد تطوير حل يسمي “برايفت دروب”، لتصميم التصميم المعيب في آير دروب، والحل الذي قدمته ابل يعتمد على بروتوكولات تقاطع المجموعة الخاصة المشفرة المحسّنة التي يمكنها أداء عملية اكتشاف جهة الاتصال بشكل آمن بين مستخدمين دون تبادل قيم التجزئة الضعيفة.
|
وقال الباحثون أن هذه النتائج هي الأحدث في سلسلة من الدراسات التي تم خلالها تفكيك النظام البيئي اللاسلكي لشركة ابل على مر السنين، بهدف تحديد مشكلات الأمان والخصوصية، ومن بين الثغرات التي تم اكتشافها، ثغرة موجودة في خدمة ابل المعروفة باسم “رابطة ابل اللاسلكية المباشرة أية دبليو دي إل”، وتم كشفها في مايو 2019، ووجد انها تسمح للقراصنة بتتبع المستخدمين وتعطيل الأجهزة واعتراض الملفات المنقولة بين الأجهزة.، والشهر الماضي تم العثور علي عيبين في التصميم والتنفيذ الخاص بوظيفة “اعثر علي “من ابل، والمستخدمة في الوصول إلى الأجهزة التي ينسي أصحابها اماكنها داخل المنزل او المكتب، ووجد أنها قد تؤدي إلى هجوم ارتباط الموقع والوصول غير المصرح به إلى سجل الموقع في الأيام السبعة الماضية ، وبالتالي إلغاء هوية المستخدمين.
