Apple تعرض زبناءها للخطر بعدم ترقيع الخطأ الأمني فيiOS و OS X مباشرة



OS X iOS Apple

أدرجت تحديثات iOs و OS X على هواتف الايفون و الايباد و حواسيب الماك التي تعمل تحت إصدارات OS X Maverics10.9.2 و Mountain Lion 10.8.5  كترقيع أمني وجب على مستخدمي الاجهزة و النسخات التي ذكرناها سابقا أن يقوموا بتثبيت الترقيع الأمني الذي يسمح بتصحيح خلل التشفير المعروف باسم "المصافحة الثلاثية".

وقد صرحت شركة ArsTechnica انهذه الثغرة تمكن من تجاوز حماية التشفير التي تم ابتكارها لمنع التصنت و العبث بالبيانات من قِبل الهاكرز للتحكم بالبيانات المبعوثة و المستقبَلة من الاجهزة المصابة بالثغرة, مثل هجوم " الرجل في المتوسط"حيث يمكن للمهاجم ان يستغل الثغرة من خلال استغلال خطأ التشفير"المصافحة الثلاثية",حيث يتسسل المهاجم بعد ربط الاتصالات الامنة باستعمال التطبيقات التي تطلب شهادة المستعمل من أجل التحقق من هوية المستخدم النهائي.

في حين فسرت Apple أن هجوم Triple handshake كان يتيح  للمهاجم ربط اتصالين يحملان نفس مفاتيح التشفير و نفس نوع المصافحة, ثم إدراج بيانات المهاجم في خط اتصال واحد؛ وإعادة التفاوض لِتُحال الاتصالات على بعضها من جديد. وتفاديا لوقوع هجمات بنفس هذا السيناريو؛ تم تغيير النقل الآمن ليصبح و بطريقة تلقائية قادرا على  تقديم  نفس شهادة الخادم التي قدمت في الإتصال الأصلي خلال مرحلة إعادة التفاوض.

هذه الترقيعات الأمنية أتت بعد أن تعرضت و مستخدميها لثغرة GoToFail التي كانت ناتجة عن خطأ في تشفير SSL,هذه الأخيرة التي قامت بترقيعها في غضون 3 أيام؛ و يضل الفرق بين ثغرة GoToFail و ثغرة Triple handshake أن Apple لم تكن تفصح للعامة عن وجود هذا الخطأ الأمني في الوقت الذي كانت تسارع لتصحيحها.

و يمكن للمستخدمين الحصول على التحديثات لأجهزة iPhone و iPad الخاصة بهم عن طريق تحديث البرامج وأجهزة ماكينتوش الخاصة بهم عن طريق متجر الماك، بالنسبة لأجهزة iOS التي تشتغل تحت إصدارات iOS7 فالترقيعات الأمنية مدرجة في iOS7.1.1,التحديث مخصص ل iPhone4  ومابعده؛iPod touch (الجيل5) ومابعده؛iPad2 و مابعده.

الكاتبة :يسرى شقور

بقلم

محمد لحلو

المدير التقني لمدونة مجتمع الأمن المعلوماتي مدون ومغرد حول مجال الأمن المعلوماتي والحماية الإلكترونية ! مهتم بكل جديد حول المجال الأمني بصفة خاصة والتقني بصفة عامة من مواليد مدينة فاس المغرب .

2016 © جميع الحقوق محفوظة
تطوير : عدنان المجدوبي