تنقل نايلة الصليبي في "إي ميل" مونت كارلو الدولية دراسة لباحثين "جامعة دارمشتات التقنية" الألمانية تحذر من هفوة برمجية في ميزة AirDrop في أجهزة أبل للاتصال المباشر مع أجهزة أبل القريبة لإرسال الصور والملفات المختلفة لاسلكيًا، ويمكن أن تسرب عناوين البريد الإلكتروني وأرقام الهواتف الخاصة بالمستخدمين.
عندما يتحدث تيم كوك المدير التنفيذي لشركة أبل عن دعم حماية خصوصية وبيانات المستخدمين وترتفع حدة المواجهة مع مارك زوكيربرغ حول هذه الخصوصية بالتحديد مع أخر تحديث لنظام تشغيل أبل iOS14.5 مع ميزة App Tracking Transparency التي تسمح للمستخدمين تعطيل تتبع التطبيقات والإعلانات. ثم تطالعنا دراسة لباحثين من جامعة دارمشتات التقنية الألمانية عن هفوة برمجية في ميزة AirDrop في أجهزة أبل تتيح للمهاجمين الحصول على معلومات شخصية يمكن إساءة استخدامها في هجمات التصيد الاحتيالي spearphishing أو بيعها حسب Christian Weinert وهو أحد هؤلاء الباحثين الذي يؤكد أن شركة أبل على علم بهذا الخلل منذ عام 2019، وتتجاهل إصلاحه.
نسأل هل فعلا أبل جدية في حماية خصوصية المستخدمين؟
تستعمل ميزة AirDrop للاتصال المباشر مع أجهزة أبل القريبة لإرسال الصور والملفات المختلفة لاسلكيًا بين أجهزة أبل.
عند تشغيل AirDrop، تمسح أجهزة أبل المنطقة المحيطة بحثا عن أجهزة متوافقة، وفي حالة ترك خيار جهات الاتصال فقط، يتصل الجهاز بكل الأجهزة لمعرفة ما إذا كان صاحبه موجودا في لائحة جهات الاتصال. وللتحقق من ذلك، يتصل الهاتف أوالكمبيوتر برقم الهاتف وعنوان البريد الإلكتروني وهو مشفر.
الذي كشفه الباحثون إن ميزة AirDropهذه تحوي ثغرة أمنية، في أسلوب استخدام أبل لوظائف hash functions وهي خوارزمية أو دالة رياضية تُحوِّل مجموعة كبيرة من البيانات إلى بيانات أصغر مشفرة و هي ميزة "التعمية" المستخدمة على أرقام الهواتف وعناوين البريد الإلكتروني المتبادلة أثناء عملية الكشف وهي هشة ويمكن أن تسرب عناوين البريد الإلكتروني وأرقام الهواتف الخاصة بالمستخدمين.
كيفية استغلال هذه الثغرة
كل ما يحتاجه القرصان هو جهاز متصل بــ Wi-Fi وقريب من الجهاز المستهدف وبدء عملية استكشاف أجهزة أبل القريبة واستعمال ما يعرف بهجمات القوة الغاشمة Brute Force، هجمات تعكس التشفير وتكشف رقم الهاتف وعنوان البريد الإلكتروني للشخص الذي قام بتنشيط بحث AirDrop. صحيح أن الهجوم غير محتمل لأن وقت عملية المسح لكشف أجهزة أبل القريبة قليل جدا ولكنه ممكن.
يقول الباحثون إنهم أعلموا شركةأبل بالنتائج التي توصلوا إليها في مايو 2019. واقترحوا على أبل برنامجا بديلا PrivateDrop، بعد إعادة صياغته مع تقنية تشفيرتحمي الاتصال بين أجهزة أبل ويتوفر على موقع GitHub
الحماية من هذه الثغرة
إن كنتم تستخدمون ميزة AirDrop في المنزل لا داعي للخوف، قد يكون من المنطقي تعطيل هذه الميزة فقط عند استخدام الأجهزة في الأماكن العامة والمؤتمرات. ستعرض نتائج هذا البحث في آب/أغسطس 2021 خلال USENIX مؤتمر Security Symposium ربما إلى ذلك الحين سوف تعمل أبل على تصحيح هذه الثغرة.
يمكنكم التواصل مع نايلة الصليبي عبر صفحة برنامَج "إي ميل" مونت كارلو الدولية على لينكد إن تويتر @salibi و @mcd_digital وعبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي