ثغرة في إنستغرام سبّبت عرض كلمة مرور حسابات المستخدمين

قامت شبكة إنستغرام Instagram بإرسال إشعار إلى بعض المستخدمين لإعلامهم بأن كلمة المرور الخاصة بهم ربما قد تعرضت للكشف بسبب ثغرة أمنية جديدة.

ووفقاً للمعلومات التي نشرها موقع Engadget فقد قال متحدث باسم الشركة أن هذه القضية اكتُشفت داخلياً وأثرت على عدد قليل جداً من مستخدمي التطبيق.

في هذه الحالة، كان الخطأ مرتبطاً بميزة نشرتها الشركة في شهر نيسان تتيح للمستخدمين تنزيل جميع بياناتهم، والتي تم تنفيذها بعد نشر المشرعين الأوروبيين لقانون حماية خصوصية البيانات (GDPR).

ووفقاً لشركة إنستغرام فإن بعض المستخدمين الذين استخدموا هذه الميزة كانت كلمات مرورهم مدرجة في عنوان URL في متصفح الويب الخاص بهم، حيث تم تخزين كلمات المرور على خوادم فيسبوك Facebook الشركة الأم لإنستغرام.

في حين شكك أحد الباحثين الأمنيين بهذه المعلومات وقال أن هذه الثغرة لن تكون ممكنة إلا إذا كانت إنستغرام قد قامت بتخزين كلمات المرور الخاصة بالمستخدمين ضمن نص عادي دون تشفير.

هذا الأمر في حال كان صحيحاً فإنه يمثّل واحدة من أكبر الفضائح الأمنية المتعلقة بالشركة، لكن متحدث باسم إنستغرام عارض هذا الكلام وقال أن الشركة تقوم باتباع خوارزميات تشفير معقدة لحماية كلمات المرور.

كما وقالت الشركة أنها قامت بإصلاح الخطأ الأمني الخطير بحيث لم تعد كلمات المرور تُعرض عند استخدام الميزة، أما بالنسبة للمستخدمين المتضررين فقد وصلتهم رسالة تنبيه من الشركة تنصحهم بالقيام بعملية تغيير كلمة مرور حسابهم كإجراء احترازي.

وشرح متحدث باسم الشركة المشكلة التي سببتها الثغرة المكتشفة في تصريح خاص لموقع The Verge وقال أن بعض المستخدمين الذين قاموا باستخدام ميزة تحميل البيانات وعند إرسالهم لمعلومات تسجيل الدخول الخاصة بهم، ظهرت كلمة مرور حساباتهم في عنوان URL الخاص بالصفحة.

ويؤكّد المتحدث باسم الشركة أن المشكلة اقتصرت فقط على ظهور كلمة المرور بشكل غير مشفر ضمن عنوان الصفحة، ولم يتم إرسالها أو عرضها لأشخاص آخرين.

لكن في الحقيقة فإن ظهور كلمة المرور بهذا الشكل غير المشفر قد يساعد بعض المهاجمين على الحصول على كلمة مرور المستخدم في حال كانوا يعلمون بأمر الثغرة.

ولحسن الحظ فإن الثغرة الأمنية قد تم اكتشافها داخل الشركة، ولم يتم الإفصاح عنها إلا بعد إصلاح المشكلة والقيام بعملية تحديث للميزة تضمن عدم إظهار بيانات تسجيل الدخول السرية في العنوان.

بجميع الأحوال فإن الثغرة الجديدة ليست إلا حلقة في مسلسل الثغرات الذي امتد طوال العام الحالي وتسبب بالكثير من الضرر لسمعة شركة فيسبوك الأم.

وهنا نتذكر الثغرة التي أثرت على ملايين من مستخدمي شبكة فيسبوك والتي كانت أيضاً بسبب ميزة خاصة بالحساب، وهي ميزة View As التي تسمح للمستخدمين بمعاينة صفحاتهم الشخصية كما يراها الآخرون.

وهنا يتجدد السؤال الذي وجهه سابقاً الكثير من التقنيين والمستخدمين للشركة: إلى متى سيستمر مسلسل الثغرات الأمنية؟!

مقالات قد تعجبك:

كيفية إخفاء آخر ظهورك أو حالة اتصالك على إنستغرام
نصائح لتحديد خصوصية وأمان حساب إنستغرام
نصائح لنشر صور ومقاطع فيديو أفضل على إنستغرام
كيفية حماية أجهزة أندرويد من الفيروسات والبرمجيات الخبيثة
كيفية حماية هاتفك المحمول من تطبيقات التجسس

ثغرة جديدة تمكّن من تجاوز رمز المرور على الآيفون

نعلم جميعاً أن شركة آبل Apple تعمل دائماً على دعم أجهزتها بأحدث وسائل الحماية التي من المفترض أن تساعد على منع الوصول إلى بيانات الأجهزة إلا من قبل المسؤول عن الجهاز.

بالنسبة لطريقة رمز المرور، فإن الشركة تسمح باختيار رمز مكون من 4 أو 6 أرقام لقفل الجهاز ولكنها تعطي 10 محاولات فقط لإدخال هذا الرمز قبل أن يتم تشفير بيانات الجهاز.

وهي طريقة من شأنها حماية الجهاز من أي وصول غير مصرح به، فعشر محاولات إدخال خاطئة لهذا الرمز تعني أن هناك شخص ما يحاول الوصول إلى جهاز شخص آخر.

لكن بحسب الباحث الأمني Matthew Hickey فإن هنالك طريقة أو ربما من الأفضل تسميتها بثغرة تسمح بتجاوز الحد المفروض على عدد المحاولات أثناء إدخال رمز المرور.

الأمر الذي يسمح بتجريب عدد هائل من الاحتمالات المختلفة التي قد يكون أحدها مطابقاً لرمز قفل الجهاز، والجدير بالذكر أن الثغرة موجودة حتى على أحدث نسخة من نظام التشغيل iOS 11.3.

عندما يبدأ المستخدم في إدخال المحاولات المختلفة لتجربة رمز المرور، فإن هنالك جزء من الهاتف يسمى الجزء الآمن مهمته هو تتبع عدد المحاولات التي يتم تجربتها في إدخال الرمز وفرض قيود زمنية تعمل على الإبطاء من إدخال هذه المحاولات.

في الحقيقة يمكن الالتفاف على هذا الجزء الآمن مع استخدام هجوم القوة العمياء أو brute force attack.

فبدلاً من إدخال رموز المرور في وقت واحد والانتظار بعد كل إدخال يقول Hickey أنه يجب عليك إرسال إدخالاتك في سلسلة طويلة جداً من المدخلات.

سيؤدي ذلك إلى تجاوز الحد المفروض على رمز المرور وسيقوم الهاتف بمعالجة كافة إدخالات رمز المرور وتجربتها.

كل ما هو مطلوب لاختراق الآيفون كابل Lightning، ويتم بعدها إرسال جميع الرموز المكونة من أربعة أرقام من 0000 إلى 9999 بدون مسافات في حال كان رمز مرور الهاتف مكوناً من 4 خانات.

عندما يكون جهاز الآيفون متصلاً، فإن إدخال لوحة المفاتيح له الأسبقية على ميزة الحد من محاولات إدخال الرمز للهاتف.

وبالتالي، فإن استخدام هذا الهجوم يؤدي إلى تجربة رموز المرور المكونة من أربعة أرقام التي قمت بإدخالها وإلغاء قفل الهاتف قبل أن يتم تشفير الجهاز.

لكن نظراً لأن جهاز الآيفون يستغرق من ثلاث إلى خمس ثوانٍ لمعالجة كل رمز مرور، فستحتاج إلى ساعة واحدة لتخطي 100 رمز مرور مختلف فقط.

وعلى الرغم من أن هذه الطريقة ستعمل أيضاً مع رموز المرور المكونة من ستة أرقام من خلال تشغيل جميع الاحتمالات بين 000000 و 999999 في وقت واحد إلا أن الأمر سيستغرق أسابيع حتى يتم إكمال المهمة.

في وقت سابق من هذا الشهر، علمنا أن نظام التشغيل iOS 12 سيتضمن وضع تقييد المحتوى عبر منفذ الهاتف، والذي يعمل على منع استخدام المنفذ لأي غرض آخر إلا الشحن إذا لم يتم فك قفل الهاتف خلال الساعة الماضية.

سيؤدي ذلك إلى منع أجهزة فك القفل مثل GrayKey من استخدام منفذ الهاتف لتعطيل حد رمز المرور على الآيفون.

مع العلم أن شركة Grayshift التي تقف وراء جهاز GrayKey قالت أنها تمكنت من هزيمة وضع تقييد المحتوى عبر المنفذ.

إذا كان هذا صحيحاً، فإن ذلك سيعيد الكرة إلى ملعب آبل حيث يعمل كل فريق بجد ليبقى متقدماً بخطوة على الأقل على الطرف الآخر.

وضع تقييد المحتوى في iOS 12 لن يلغي فعالية الثغرة التي اكتشفها Hickey لكنه سيزيد من تعقيد الأمور بشكل أكبر، إذ يتم منح ساعة واحدة فقط لاستغلال الثغرة وتجريب عدد قليل من الرموز.

مقالات قد تعجبك:

ما هو أفضل مضاد فيروسات لأجهزة آيفون ؟
ما هي تقنية الواقع المعزّز؟ وما أهم بيئات تطويرها؟
كيفية النسخ الاحتياطي للصور على هاتفك تلقائياً وبأمان
كيفية وضع مجلد تطبيقات في شريط الوصول السريع في آيفون
كيفية إجراء المكالمات هاتفية عبر جهاز ماك من خلال الآيفون