يجد باحث أمني منزعج طريقة لجعل شركة Apple تتحدث، ويسقط ثلاث ثغرات أمنية في نظام التشغيل iOS

  • Oct 29, 2023

بعد ما يقرب من ستة أشهر من الإبلاغ عن أول ثغرة أمنية لشركة Apple، أعلن أحد الباحثين الأمنيين عن إعادة فتح خطوط الاتصال مع شركة Apple.

appleevent-sep14keynote-tim-cook-03.jpg
الصورة: أبل

خلال معظم عام 2021، انخرط باحث أمني يحمل اسم الوهم في محادثة غير مثمرة مع تعمل Apple على إصلاح عدد من الثغرات الأمنية التي تسمح للتطبيقات بإجراء مكالمات API لسحب معلومات المستخدم التي لا ينبغي لها أن تكون قادرة عليها ل.

يوم الجمعة، أعلن الباحث عنهم الموجودات، والتي تحتوي على ثغرة أمنية واحدة تم إصلاحها في iOS 14.7 وثلاث ثغرات أمنية لم يتم إصلاحها.

وشملت الأخطاء التي تم إصلاحها Analyticsd وسمحت للتطبيقات بالوصول إلى السجلات التي تحتوي على المعلومات الطبية ومعلومات استخدام الجهاز وتعطل التطبيق والمعلومات المتعلقة بملحقات الجهاز.

تضمنت الثغرات الأمنية التي لم يتم إصلاحها عدم قيام خدمة الألعاب بالتحقق بشكل صحيح من إذن مركز اللعبة و السماح بالوصول إلى قاعدة بيانات Core Duet التي تحتوي على جميع جهات الاتصال من البريد والرسائل النصية القصيرة وiMessages وبعضها المرفقات؛ البريد الإلكتروني لمعرف Apple، والاسم الكامل، ورموز المصادقة المميزة التي تسمح بالوصول إلى واحد على الأقل 

apple.com نقطة النهاية؛ وقراءة الوصول إلى قاعدة بيانات الاتصال السريع ودفتر العناوين.

سمحت ثغرة أمنية في Nehelper لأحد التطبيقات بالتحقق مما إذا كان قد تم تثبيت أي تطبيق آخر، كما سمح خطأ آخر في Nehelper بالوصول غير المصرح به إلى معلومات Wi-Fi.

وقال الباحث إنه عندما أصلحت شركة Apple مشكلة Analyticsd، لم يتم اعتمادها، حيث قالت شركة Apple في يوليو/تموز إن الائتمان كان وشيكًا. وبحلول سبتمبر/أيلول، كان الباحث لا يزال ينتظر.

لكل ثغرة، نشر الباحث كود إثبات المفهوم على GitHub.

وفي يوم السبت، تلقى الباحث ردًا من شركة آبل، التي قالت إنها اطلعت على منشور المدونة واعتذرت عن التأخير.

"نريد أن نخبرك أننا مازلنا نحقق في هذه المشكلات وكيف يمكننا معالجتها لحماية العملاء. وقالت شركة أبل: "شكرًا لك مرة أخرى على الوقت الذي أمضيته في إبلاغنا بهذه المشكلات، ونحن نقدر مساعدتك".

طلبت ZDNet من شركة Apple التعليق يوم الجمعة، لكننا ما زلنا ننتظر الرد.

خلال عطلة نهاية الأسبوع، مطور أعمى اشتكى التي صنفتها شركة Apple كتحديث غير مرغوب فيه لإنشاء نسخة يمكن الوصول إليها من Hangman تعمل على نظام التشغيل iOS 15.

"تم تصميم تطبيقي للمكفوفين وأن جميع ألعاب الجلاد الأخرى التي رأيتها في متجر التطبيقات نصف قابلة للعب و... "هذا تحديث لإصلاح الأخطاء والمستخدمون الحاليون الذين دفعوا مقابل التطبيق غير قادرين على اللعب باستخدام iOS 15،" كتب Oriol Gómez Senís.

"مما أثار رعبي أنهم أجابوا بنعم، "نحن نفهم أن تطبيقك يحتوي على تعليق صوتي"، مرحبًا؟ تطبيقي لديه التعليق الصوتي؟ لكن للأسف الرفض لا يزال قائما".

وبحلول الساعات الأولى من صباح يوم الاثنين، قال المطور إن شركة آبل وافقت على التحديث، لكن التطبيق ظل ينتهك إرشادات متجر التطبيقات.

التغطية ذات الصلة

  • أصدرت Apple تصحيحات لثغرات Catalina وiOS 12.5.5
  • يريد الاتحاد الأوروبي أن يصبح USB-C منفذ شحن قياسيًا لجميع الهواتف الذكية للحد من النفايات الإلكترونية
  • ألا يعجبك Safari الجديد لجهاز iPhone في iOS 15؟ وإليك كيفية اصلاحها
  • تحظر Apple ألعاب Epic Games من متجر التطبيقات حتى يتم الانتهاء من جميع الدعاوى القضائية
  • يرى Facebook اضطرابًا في الربع الثالث بسبب تغييرات خصوصية Apple