تحذير من ثغرات خطيرة تهاجم نظام التشغيل iOS

اكتشفت شركة الأمن السيبراني والاختبار EVA Information Security، ومقرها إسرائيل، خللًا في Cocoapods، وهو مدير تبعيات يستخدم على نطاق واسع لمشاريع البرمجيات المشفرة بلغات البرمجة Swift و Objective-C.

يُعدّ مدير التبعيات أداةً مهمةً في تطوير البرمجيات، إذ يُتيح التحقق من صحة حزم البرمجيات وتوقيعها تشفيريًا. لذلك، قد يُؤثّر أي خلل في هذه الأداة سلبًا على العديد من أجزاء البرنامج أو الويب.

وفقًا لشركة EVA لأمن المعلومات، ربما كانت المشكلة قائمة منذ عام ٢٠١٤، وهي نتيجة عملية نقل فاشلة لخادم Cocoapods، مما أدى إلى فصل آلاف حزم مكتبات البرامج عن ملفاتها الأصلية، ما حال دون تتبعها. وقد سمح هذا للمهاجمين باستبدال شيفرة المصدر الأصلية بشيفرة خبيثة خاصة بهم.

صرح ممثل الشركة: "بسبب ثغرات أمنية في النظام، يُمكن للمجرمين اختراق هذه الحزم، ثم استخدامها لحقن البرمجيات الخبيثة في أدوات تطوير البرامج المخصصة للمطورين. ولأنها لم تُكتشف لفترة طويلة، فهذا يعني أن آلاف التطبيقات وملايين الأجهزة قد تعرضت للخطر على مر السنين."

مع قدرة العديد من التطبيقات على الوصول إلى معلومات المستخدم الحساسة مثل بطاقات الائتمان والسجلات الطبية والمستندات الخاصة، يمكن للمتسللين استغلال الثغرات الأمنية أو تثبيت برامج الفدية أو أنواع أخرى من البرامج الضارة لجمعها.

تعتقد شركة EVA Information Security أن شركة Apple "في مركز الفوضى" عندما يتم برمجة معظم تطبيقات iOS وmacOS بلغات Swift و Objective-C، بما في ذلك الأسماء الشهيرة مثل TikTok و Snapchat و LinkedIn و Netflix و Microsoft Teams و Facebook و Messenger.

نتيجةً لذلك، قد تتأثر آلاف التطبيقات على هذه المنصات. قد يُصيب أي هجوم على منظومة تطبيقات الأجهزة المحمولة معظم أجهزة Apple، مما يُعرّض آلاف المؤسسات للخطر ماليًا وسمعيًا.

أفادت التقارير أن شركة Cocoapods قامت بإصلاح هذه الثغرات، إلا أن عدم اكتشافها لما يقارب عقدًا من الزمن أمرٌ يدعو للقلق. توصي شركة EVA لأمن المعلومات المطورين بمراجعة الكود المصدري لمنتجاتهم لتحديد ما إذا كانت برامجهم معرضة للخطر.

ولم تعلق شركة أبل على الخبر حتى الآن.