حماية
ثغرة تؤثر على 180 مليون مستخدم
حسب شركة الحماية Appthority فقد قام العديد من المبرمجين، وعن طريق الخطأ، بتوفير وثائق التفويض اللازمة للحصول على الخدمات التي تقدمها شركة تويليو Twilio، وهي منصة اتصالات سحابية يقع مقرها في سان فرانسيسكو في ولاية كاليفورنيا، وتسمح الشركة لمطوري البرامج بإجراء مكالمات هاتفية وتلقيها وإرسال رسائل نصية واستبقالها برمجياً من خلال واجهة برمجة التطبيقات لخدمة الويب خاصتها.
وتتطلب الثغرة ثلاث خطوات لتنفيذها هي الاستطلاع والاستغلال والتدفق، بحيث يبحث الهاكرز في البداية عن التطبيقات التي تستعمل تويليو، ومن ثم يستعمل أداة مثل VirusTotal أو YARA للعثور على التطبيقات التي تحدد السلاسل داخل التطبيقات ومن ثم البحث عن سلسلة “تويليو”، وبمجرد الانتهاء من ذلك، يمكن للهاكرز تحديد وثائق اعتماد تويليو.
وقال سيث هاردي مدير البحوث الأمنية في شركة Appthority “يمكن للهاكرز الوصول إلى تلك البيانات من خلال مراجعة التعليمات البرمجية في التطبيقات، ومن ثم الوصول إلى البيانات المرسلة عبر تلك الخدمات”، وتسلط النتائج الضوء على التهديدات الجديدة التي يجلبها الاستخدام المتزايد لخدمات الطرف الثالث مثل شركة تويليو، والتي توفر تطبيقات محمولة مع وظائف مثل الرسائل النصية والمكالمات الصوتية.
ويمكن للمطورين أن يوفروا عن غير قصد ثغرات أمنية إذا لم يقوموا ببرمجة أو إعداد هذه الخدمات بشكل صحيح، وأضاف مدير البحوث الأمنية في الشركة “هذا الأمر لا يتقصر على شركة تويليو، إنها مشكلة شائعة عبر خدمات الطرف الثالث، وغالباً ما نلاحظ أنه إذا ارتكب المبرمج خطأ مع خدمة واحدة فإنه سوف يفعل ذلك مع خدمات اخرى أيضاً”.
وتستعمل العديد من التطبيقات خدمات تويليو لإرسال رسائل نصية وإجراء مكالمات هاتفية والتعامل مع الخدمات الاخرى، ويمكن للهاكرز الوصول إلى البيانات ذات الصلة إذا قاموا بتسجيل الدخول إلى حسابات المطور على تويليو، وتعتبر هذه الأخطاء ناتجة عن المطورين وليس تويليو، ويحذر موقع تويليو مطوري البرمجيات من أن قيامهم بترك وثائق الاعتماد ضمن التطبيق قد يكشف الحساب للهاكرز.
وقال المتحدث باسم شركة تويليو “إن الشركة ليس لديها دليل على أن الهاكرز قد استخدموا وثائق التفويض المشفرة الموجودة ضمن التطبيقات للوصول إلى بيانات العملاء، لكنها تعمل مع المطورين من أجل تغيير وثائق التفويض فيما يخص الحسابات المتأثرة”.
وتوصلت شركة Appthority ضمن عملية مسح تمت في شهر يوليو/نيسان وشملت 1100 تطبيق إلى وجود 685 تطبيق غير محمي (44 في المئة تطبيقات أندرويد و56 في المئة تطبيقات iOS) مرتبطين بحسابات ما يصل إلى 85 مطور، وانخفض الرقم في نهاية شهر أغسطس/آب إلى 102 تطبيق ما زال موجود في متجر آبل و75 تطبيق ما زال موجود في متجر جوجل بلاي.
ليست هناك تعليقات:
إرسال تعليق
اترك لنا تعليق أسفله و شكرا على مساهمتكم