اشترِك في نشرتنا الإخبارية
بعد أيام من تصليح "آبل" خللاً قد يسمح للمتسلِّل بتعريض جهاز iPhone الخاص بالمستخدِم إلى حلقة لانهائية من الأعطال، كشف موقع FingerprintJS عن ثغرة أمنية في متصفّح البحث Safari، قد تُعرِّض نشاط الإنترنت والبيانات الشخصية الخاصة بالمستخدِم للخطر.
وتتواجد الثغرة هذه في متصفِّح "Safari15" عبر جميع الأنظمة الأساسية المدعومة به، بالإضافة إلى متصفحات الجهات الخارجية على أنظمة تشغيل IOS15 وIpadOS15. فكما هو معلوم، فإن متصفّح Safari هو المتصفّح الأساسي لمستخدمي "آبل" و "ماك".
وكشف موقع FingerprintJS أنّه أبلغ عن الثغرة لأوّل مرة في 28 تشرين الثاني الماضي، ورغم ذلك، فإن شركة "آبل" لم تستجب له من خلال تصحيحات الأمان.
أين تكمن خطورة هذه الثغرة؟
وعن خطورة هذه الثغرات على بيانات وخصوصية المستخدِم، يشرح المستشار في الأمن السيبراني، رولان أبي نجم، أنّ عادة، ولدى الدخول وتصفّح أي موقع عبر Safari، هناك ما يُسمّى بالـ browsing history أو سجلّ البحث، الذي يظهر المواقع التي تصفّحها المستخدم. وهذه المواقع تحفَّظ في قاعدة بيانات معينة تسمّى IndexedDB.
لكنّ إشكالية هذه الثغرة لا تقع على تسريبها هذه المواقع وسجلّها فقط. فبحسب أبي نجم، تسرّب هذه الثغرة أيضاً البيانات الخاصة للمستخدمين، لدى إدخالهم بيانات حساباتهم للدخول إلى مواقع معينة على رأسها "غوغل". وبذلك، يسرّب Safari معلومات شخصية بالمستخدِم، إضافة عن سجلّ بحثه. هذا الأمر يساعد أي متسلّل أو مقرصِن على خرق حسابات "غوغل"، وبالتالي، هذا ما زاد من خطورة هذه الثغرة.
وتؤدي الثغرة الحالية إلى خلل يلحق بأسماء قواعد البيانات بدلاً من المحتوى نفسه. وهذا سيكون كافياً للمقرصِن لكي يحصل على اسم مستخدِم "غوغل" الخاص بمستخدمي متصفِّح "Safari"، واكتشاف صورة ملفّه الشخصي، ومعرفة المزيد عنه.
على هذا النحو، فإنّ إصدار Safari من IndexedDB ينتهك آلية الأمان ذات الأصل نفسها التي تقيّد كيفية تفاعل المستندات أو البرامج النصية المحمَّلة من أصل واحد مع موارد من أصول أخرى، وفقًا لـ FingerprintJS. وبالتالي، يمكن للمواقع التعسّفية أن تتجسّس على المواقع الأخرى التي يزورها المستخدِم في علامات تبويب أو نوافذ مختلفة. بالإضافة إلى ذلك، فإنّ هذه الثغرة تعرّض أيضاً معرّف مستخدِم "غوغل" الخاص إلى مواقع ويب غير تلك التي سجّل فيها الشخص الدخول باستخدام حساب "غوغل" الخاص به. وهذا يمثل مشكلة لأن معرِّف مستخدِم "غوغل" هو معرِّف داخلي تم إنشاؤه بواسطة "غوغل"، ويمكن استخدامه مع رقم تعريف "غوغل" لجلب المعلومات الشخصية العامة لمالك الحساب.
وعندما كُشفت هذه الثغرة، تم تبليغ "آبل" عنها. لكن لم تتّخذ الشركة إجراء سريعاً لتصليحها. ويوضح أبي نجم الأسباب التي من أجلها تأخّرت "آبل" في تصليح هذه الثغرة، بأنّه "عادة، لدى حدوث أي مشكلة في نظام عمليات أو متصفِّح ما، الحل ليس سهلاً دائماً".
وهذا الأمر قد حدث مع شركة "آبل" بالتحديد في وقتٍ سابق، حين تعرّضت الشركة لبرنامج pegasus للتجسّس من قبل شركة إسرائيلية، وقامت "آبل" بتصليح هذه الثغرة، لكن الشركة الإسرائيلية أعادت استخدام هذه الثغرة مرة أخرى. ما يعني، أنّ "رغم وجود مطوّري برامج بارعين لدى أهمّ شركات التكنولوجيا، لكنّهم ليسوا قادرين على حل مشاكل كهذه بسهولة". ويضيف أبي نجم أنّه لدى الوقوع في مشكلة من هذا الحجم، وبحسب خطورة الموضوع، "يستغرق الأمر وقتاً لإيجاد الحل المناسِب واختباره وتصليحه، و"آبل" مدرِكة للثغرة الأخيرة، لكن الحل ليس سهلاً ولا سريعاً".
وعن داعي التوجّه إلى استخدام متصفِّح آخر، يورد أبي نجم أنّ "ليس هناك منصة أو متصفِّح آمن مئة في المئة". إضافة إلى أنّه رغم انتشار أخبار الخروقات والثغرات في الأجهزة والأنظمة والبرامج، لكن المستخدمين لا يزالون يستخدمونها، ومع كلّ تحديث لمميزات الهاتف أو غيره، يزيد احتمال اكتشاف ثغرات.
إلى جانب السؤال الأساسي هنا: "هل من بديلٍ لهذا المتصفِّح؟"، يفيد أبي نجم أنّه حتى متصفِّح Chrome هناك بلبلة حول عدم أمان المعلومات عليه، "فجميع هذه الأخبار لا تؤثّر بالناس، إذ حتى أخبار تجسّس الهواتف الذكية على المستخدمين من خلال ميكرفون الهاتف وغيره من الميزات، ومن خلال مواقع التواصل الاجتماعي، لم تدفع بالناس إلى ترك هذه الهواتف أو البحث عن بدائل، "فهم على دراية بأنّ بياناتهم مكشوفة وغير آمنة، لكنّهم في هذا الزمن، باتوا غير قادرين على التخلي عن ميزات الهواتف الذكية، ويساومون على خصوصية بياناتهم مقابل حصولهم على هذه الخدمات".
وأشار جاك أرشيبلد، محامي مطوِّر يعمل في Chrome، في تغريدة له على تويتر، أنّ هذه الثغرة ضخمة، ويمكن لمستخدمي Safari (موقتاً) الانتقال إلى متصفِّح آخر لتجنّب تسرب بياناتهم عبر الأصول، مضيفاً أنّ مستخدمي iOS لا يمتلكون مثل هذا الخيار، لأنّ Apple تفرض حظراً على محركات المتصفِّح الأخرى.
