تحذير من ثغرات خطيرة تهاجم نظام التشغيل iOS

اكتشفت شركة الأمن السيبراني والاختبار EVA Information Security، ومقرها إسرائيل، خللًا في Cocoapods، وهو مدير تبعيات يستخدم على نطاق واسع لمشاريع البرامج المشفرة بلغات البرمجة Swift و Objective-C.

يُعدّ مدير التبعيات أداةً مهمةً في تطوير البرمجيات، إذ يُتيح التحقق من صحة حزم البرمجيات وتوقيعها تشفيريًا. لذلك، قد يُؤثّر أي خلل في هذه الأداة سلبًا على العديد من أجزاء البرنامج أو الويب.

وفقًا لشركة EVA لأمن المعلومات، ربما كانت المشكلة قائمة منذ عام ٢٠١٤، وهي نتيجة عملية نقل فاشلة لخادم Cocoapods، مما أدى إلى فصل آلاف حزم مكتبات البرامج عن ملفاتها المصدرية الأصلية، ما أدى إلى عدم قدرتها على تتبع أصولها. تُمثل هذه الثغرة الأمنية ثغرة تسمح للمهاجمين باستبدال شيفرة المصدر الأصلية بشيفرة خبيثة خاصة بهم.

بسبب ثغرات أمنية في النظام، يُمكن للمجرمين اختراق هذه الحزم واستخدامها لزرع برمجيات خبيثة في أدوات تطوير البرمجيات المخصصة للمطورين. ولأنها لم تُكتشف لفترة طويلة، فهذا يعني أن آلاف التطبيقات وملايين الأجهزة قد تعرضت للخطر على مر السنين، كما صرح ممثل الشركة.

مع قدرة العديد من التطبيقات على الوصول إلى معلومات المستخدم الحساسة مثل بطاقات الائتمان والسجلات الطبية والمستندات الخاصة، يمكن للمتسللين استغلال الثغرات الأمنية أو تثبيت برامج الفدية أو أنواع أخرى من البرامج الضارة لجمعها.

تعتقد شركة EVA Information Security أن شركة Apple "في مركز الفوضى" عندما يتم برمجة معظم تطبيقات iOS وmacOS بلغات Swift و Objective-C، بما في ذلك الأسماء الشهيرة مثل TikTok و Snapchat و LinkedIn و Netflix و Microsoft Teams و Facebook و Messenger.

نتيجةً لذلك، قد تتأثر آلاف التطبيقات على هذه المنصات. قد يُصيب أي هجوم على منظومة تطبيقات الأجهزة المحمولة معظم أجهزة Apple، مما يُعرّض آلاف المؤسسات للخطر ماليًا وسمعيًا.

أفادت التقارير أن شركة Cocoapods قامت بإصلاح هذه الثغرات، إلا أن عدم اكتشافها لما يقارب عقدًا من الزمن أمرٌ يدعو للقلق. توصي شركة EVA لأمن المعلومات المطورين بمراجعة الكود المصدري لمنتجاتهم لتحديد ما إذا كانت برامجهم معرضة للخطر.

ولم تعلق شركة أبل على الخبر حتى الآن.