ثغرة في نظام إدارة كلمات المرور نظام ماك تسمح بسرقة كلمات المرور المُخزّنة

Icloud-Keychain

اكتشف Antoine Vincent Jebara وRaja Rahbani مُطوّرو تطبيق Myki المُتخصص في مجال التعرّف على الهوية ثغرة جديدة في نظام ماك تسمح باختراق نظام إدارة كلمات المرور المُخزّنة Keychain وسرقتها مع إمكانية الوصول إلى شهادات الوثوق أيضًا.

 

وقال المُطورون إنهم وأثناء العمل على التطبيق وجدوا إمكانية خداع نظام ماك من خلال عرض رسالة للمُستخدم للسماح للبرمجية الخبيثة بالوصول إلى كلمات المرور المُخزنة، وبعد الضغط على زر الموافقة يبدأ عمل البرمجية لاستخراج جميع كلمات المرور وشهادات الوثوق المُخزّنة على الجهاز بكل سهولة.

 

ويُمكن تضمين الأكواد الخبيثة داخل صورة، مُستند PDF أو أي ملف وبمجرد فتحه تظهر رسالة تُخبر المُستخدم بضرورة الحصول على صلاحيات الوصول إلى Keychain.

 

وراسل Antonie شركة آبل لإخبارها حول الثغرة الأمنية الجديدة مُشددًا على أهمية إغلاقها بسرعة لأنها تُهدد جميع حواسب المُستخدمين دون استنثاء حسبما صرّح لموقع Engadget.

 

وذكر Antonie في رسالته لآبل، إنهم يُدركون تمامًا حجم هذه الثغرة وما قد تُسببه من أضرار، حيث يُمكن ارسال أي ملف أو صورة وبمجرد فتحها ومنح الصلاحيات يُمكن للمخترق سرقة كلمات المرور عن بُعد. وأضاف أن الخطورة تكمن أولًا في إمكانية تنفيذ الهجوم عن بُعد، وثانيًا في عدم إمكانية اكتشاف أن الملف يحوي على أكواد خبيثة أبدًا.

 

يُذكر أنه في شهر أغسطس/آب المُنقضي تم اكتشاف ثغرات داخل نظام ماك تسمح إحداها بتجاوز نظام الصلاحيات والسيطرة على الحاسب عن بُعد، بينما تسمح الأُخرى بنقل دودة اختراق بين الأجهزة من خلال منفذ Thunderbolt.