خطأ جديد في iMessage يتيح للمتسللين اختراق آيفون برسالة
اكتشف خبراء تقنيين خطأ جديد اليوم "أقل تفاعلًا" في iMessage والذي يسمح للمتسللين بالوصول إلى جهاز آي فون، وهو يسهل عملية الاستغلال الأقل تفاعلًا بتنزيل أي ملفات أو النقر فوق أي ارتباطات مشبوهة مما يعرض الجهاز للخطر.
والأمر الأسوأ هو عدم احتياج المخترق إلى فتح تطبيق iMessage لاستغلاله في العمل.
بعد تنصت الشركة على مكالمات آي فون.. طريقة حذف تسجيلات سيري من خوادم آبل
وفي مؤتمر Black Hat الأمني في لاس فيجاس الأسبوع الجاري، عرضت ناتالي سيلفانوفيتش، الباحثة في مشروع جوجل زيرو، عددًا من هذه الأخطاء المزعومة دون تفاعل في iMessage والتي يمكن استخدامها للوصول عن بعد إلى الآي فون.
وأكدت تقارير سلكية أن شركة آبل قامت بالفعل بتصحيح خمسة من الأخطاء، لكن بعض الأخطاء لم تقم بتصليحها.
وفي أعقاب الثغرات التي تم اكتشافها مؤخرًا في WhatsApp، بدأت سيلفانوفيتش وزميلها صمويل جروس في التحقيق في عمليات استغلال مماثلة في الرسائل القصيرة ورسائل الوسائط المتعددة والبريد الصوتي، ولكن لم يعثروا على أي منها وقاموا بتحويل انتباههم إلى iMessage.
ووفقًا للباحثين، فمن المحتمل أن تكون الثغرات التي كشفوها في iMessage ناتجة عن الطبيعة المعقدة للتطبيق، حيث لا يسمح عميل المراسلة في آبل للمستخدمين فقط بإرسال كل الملفات الأخرى والرسائل الصوتية والصور والإيموجي، ولكن لديه أيضًا العديد من عمليات الدمج مع تطبيقات الطرف الثالث، مثل OpenTable وAirbnb وهو ما يجعل تأمين التطبيق أكثر صعوبة.
وتقول سيلفانوفيتش، إن iOS لديها العديد من عمليات الفحص الأمني، لكن الخطأ الذي اكتشفته Groß يستفيد من منطق نظام التشغيل، مما يجعل من الممكن تجاوز شبكة الأمان، ويمكن للمهاجمين المحتملين إرسال رسالة iMessage مستهدفة تحتوي على محتوى محدد يمكن أن تفسره خوادم آبل بطريقة معينة وترسل الهدف رسالة لاستغلال المشغل تلقائيًا، ومنح المهاجم إمكانية الوصول إلى الهاتف.
ويتم البحث بشكل كبير عن الأخطاء التي تحدث بدون تفاعل في مجتمع القرصنة، لأنها لا تتطلب أن يقوم الهدف بأي شيء، ويمكن لثغرات iMessage التي اكتشفها أعضاء Google Project Zero أن تجلب الأسعار بالقرب من "الملايين أو حتى عشرات الملايين" في سوق الاستغلال.
