أصلحت شركة آبل ثغرة أمنية عمرها سنوات في نظام تشغيل هواتف آيفون الذكية وحواسيب آيباد اللوحية، قوضت ميزة الخصوصية منذ ظهورها أول مرة.
وفي عام 2020، أعلنت شركة آبل ميزة جديدة في نظام التشغيل (آي أو إس 14) من شأنها أن تمنع أجهزة التوجيه اللاسلكية ونقاط الوصول القريبة من جمع عنوان MAC الفريد لأجهزتها.
ويمكن أن يكون لتتبع عناوين MAC استخدامات مشروعة، مثل: السماح للمسؤولين بتحديد كل جهاز متصل بشبكاتهم، مثل الأجهزة غير المصرح بها. ولكن يمكن استغلال معرفة عناوين MAC الخاصة بالجهاز لتتبع هذا الجهاز عبر شبكات مختلفة.
وبدلًا من مشاركة عنوان MAC الفريد للجهاز، سوف يستخدم نظام التشغيل (آي أو إس) عنوانًا خاصًا مختلفًا لكل شبكة.
ولكن تبين أن هذه الميزة لم تعمل على النحو المنشود منذ طرحها أول مرة، وفقًا للباحثَيْن الأمنيين (تومي ميسك)، و(طلال حاج بكري)، اللذين اكتشفا ثغرة تمنع ميزة الخصوصية من العمل على النحو الصحيح.
وفي مقطع فيديو نُشر هذا الأسبوع، أوضح (ميسك) أنه في الوقت الذي يستبدل فيه (آي أو إس) عنوان MAC الحقيقي للجهاز بعنوان يُنشأ عشوائيًا لكل شبكة، فقد ضمّن النظام أيضًا عنوان MAC الحقيقي في طلبات اكتشاف خاصية (أيربلاي) AirPlay التي يرسلها آيفون عندما ينضم إلى شبكة. وبعد ذلك تُبثّ عناوين MAC الحقيقية هذه إلى كل جهاز متصل آخر على الشبكة.
وقال ميسك: «لا توجد طريقة لمنع أجهزة آيفون وآيباد من إرسال طلبات اكتشاف (أيربلاي)، حتى عند الاتصال بشبكة افتراضية خاصة VPN. وبذلك تكتشف أجهزة آبل الأجهزة التي تدعم (أيربلاي) في الشبكة».
وأكد (ميسك) لموقع (تك كرنش) التقني أن أجهزة آيفون وآيباد استمرت في إرسال هذه الطلبات حتى عندما نشّط المستخدم وضع القفل Lockdown Mode، وهي ميزة الاشتراك المصممة للحماية من الهجمات الإلكترونية الشديدة الاستهداف.
وقال (ميسك) إنه اكتشف هذه المشكلة أول مرة في شهر تموز/ يوليو، وقدم تقريرًا أمنيًا إلى آبل في 25 تموز/ يوليو، وفي 3 تشرين الأول/ أكتوبر الجاري أخبرته الشركة بوجود إصلاح متاح للاختبار.
وأصلحت شركة آبل هذا الأسبوع الثغرة الأمنية، التي يجري تتبعها بالمُعرِّف CVE-2023-42846، مع الإصدارين ذوي الرقمين 17.1 و16.7.2 من نظام (آي أو إس)، ونبه (ميسك) إلى أن الأجهزة العاملة بنظامي (آي أو إس 14) و(آي أو إس 15) ستبقى عرضة للخطر.
ولم تكشف شركة آبل عن مدى خطورة الثغرة، لكن (ميسك) يشير إلى أن نظام نقاط تصنيف الثغرة الأمنية يصنف الثغرة الأمنية على أنها «عالية الخطورة».
وأصلحت آبل هذا الأسبوع العديد من الثغرات الأمنية الأخرى عبر نظام (آي أو إس 17.1)، ومن ذلك: الخلل الذي ربما سمح للمهاجمين بالوصول إلى مفاتيح المرور دون مصادقة، وخطأ في المساعد الذكي (سيري) كان من الممكن أن يكشف بيانات حساسة للمتسللين الذين لديهم وصول فعلي إلى الجهاز.