قد تتسبب سلسلة من الثغرات الأمنية المكتشفة حديثًا في أداة برمجية مفتوحة المصدر مستخدمة على نطاق واسع في إحداث مشكلة كبيرة لأجزاء كبيرة من أنظمة iOS وMacOS. يمكن أن تؤثر الأخطاء المذكورة على آلاف التطبيقات المستخدمة على نطاق واسع، بما في ذلك البرامج الشهيرة مثل TikTok وSnapchat وLinkedIn وNetflix وMicrosoft Teams وFacebook Messenger وغيرها الكثير، وفقًا لـ البحث الأمني المرتبطفي حين تم تصحيح مكونات المصدر المفتوح نفسها، فإن فرق DevOps للتطبيقات المتأثرة تعمل بلا شك على ضمان تحديث أنظمتها بشكل صحيح لحماية المستخدمين من الاستغلال المحتمل.
تم اكتشاف الثغرات في جوز الهند، وهو مدير تبعيات يستخدم على نطاق واسع في مشاريع البرمجيات المبرمجة بلغات البرمجة Swift وObjective-C. تُعد مديرات التبعيات أدوات حيوية في عملية تطوير البرمجيات، حيث تسمح بالتحقق من صحة حزم البرمجيات والتوقيع عليها تشفيريًا. من الواضح أن إفساد مثل هذه الأداة له آثار كبيرة (وسيئة) على أجزاء كبيرة من الويب.
حشرات جوز الهند تم اكتشافها من قبل باحثين في شركة EVA Information Security، وهي شركة متخصصة في الأمن السيبراني واختبارات الاختراق. هذه الأخطاء هي نتيجة لعملية هجرة غير كاملة لخادم Cocoapods حدثت في عام 2014، والتي أدت إلى “تيتيم” الآلاف من حزم البرامج. ونظرًا للعيوب الأمنية في النظام، كان من الممكن بسهولة الاستيلاء على هذه الحزم من قبل جهة سيئة واستخدامها (افتراضيًا) لارتكاب هجمات على سلسلة التوريد والتي قد تؤدي إلى إدخال تحديثات برمجية ضارة إلى مشاريع البرامج الخاصة بالشركات التي تعتمد عليها. يحلل الباحثون الموقف على النحو التالي:
لقد خلفت عملية الهجرة التي جرت في عام 2014 آلاف الحزم اليتيمة (حيث لا يُعرف مالكها الأصلي)، والتي لا يزال العديد منها مستخدمًا على نطاق واسع في مكتبات أخرى. باستخدام واجهة برمجة تطبيقات عامة وعنوان بريد إلكتروني متاح في كود المصدر الخاص بـ CocoaPods، يمكن للمهاجم المطالبة بملكية أي من هذه الحزم، مما يسمح للمهاجم باستبدال كود المصدر الأصلي بكود ضار خاص به… يمكن استخدام الثغرات الأمنية التي اكتشفناها للتحكم في مدير التبعيات نفسه وأي حزمة منشورة. يمكن أن تعني التبعيات اللاحقة أن آلاف التطبيقات وملايين الأجهزة قد تعرضت للخطر على مدار السنوات القليلة الماضية.
لقد تم إصلاح جميع الأخطاء الثلاثة منذ ذلك الحين، ولكن شدتها، وحقيقة أنها ظلت مكشوفة لمدة تصل إلى تسع سنوات، من المؤكد أنها أبقت الكثير من فرق البرمجيات مستيقظة طوال الليل. والسبب وراء وجود Apple في مقدمة هذه الفوضى هو أن العديد من تطبيقات iOS وMacOS مُبرمجة باستخدام كل من سويفت و ج موضوعية يقول الباحثون إن هذه الأخطاء قد تؤثر على “آلاف” أو “ملايين” التطبيقات، وأن “الهجوم على نظام تطبيقات الهاتف المحمول قد يصيب كل أجهزة آبل تقريبًا، مما يجعل آلاف المؤسسات عُرضة لأضرار مالية وسمعية كارثية”.
يقول الباحثون إنهم لم يروا أي دليل حتى الآن يشير إلى أن التطبيقات تعرضت للاختراق بالفعل. ومع ذلك، إذا كان بعضها كذلك، فمن الواضح أن هذا قد يؤدي إلى مشاكل كبيرة للمستخدمين. يلاحظ الباحثون أنه نظرًا لأن العديد من التطبيقات يمكنها “الوصول إلى المعلومات الأكثر حساسية للمستخدم: تفاصيل بطاقة الائتمان والسجلات الطبية والمواد الخاصة”، يمكن لمجرمي الإنترنت حقن التعليمات البرمجية في التطبيقات عبر الكبسولات المخترقة، مما يمكنهم “من الوصول إلى هذه المعلومات لأي غرض خبيث يمكن تخيله تقريبًا – برامج الفدية والاحتيال والابتزاز والتجسس على الشركات”.
وحث الباحثون مطوري الشركات على مراجعة منتجاتهم و”التحقق من سلامة التبعيات مفتوحة المصدر المستخدمة في أكواد تطبيقاتهم”، وبالتالي ضمان عدم تعرض أنظمتهم وعملائهم للخطر.
ال أوجه القصور الأمنية التي يمكن أن تنشأ في البرامج مفتوحة المصدر إن صناعة البرمجيات التجارية تعتمد على البرمجيات الحرة والمفتوحة المصدر لبناء منتجاتها التجارية، ولكن لا يتم إنفاق الكثير من الوقت على دعم وتأمين النظام البيئي للبرمجيات الحرة الذي بني عليه الإنترنت بالكامل. والنتائج النهائية، كما كان متوقعًا، ليست جيدة.
تواصل موقع Gizmodo مع شركة Apple للحصول على تعليق وسوف يقوم بتحديث هذه القصة إذا استجابت.