حصل المتسللون الأخلاقيون حتى الآن على نحو 300 ألف دولار من مدفوعات برنامج Apple bug-bounty لاكتشافهم 55 خطأ، 11 منها أخطاء حرجة، منها دودة خبيثة في Apple iCloud. حيث قامت المجموعة باختراق البنية التحتية لأنظمة شركة آبل، على مدار ثلاثة أشهر، حيث اكتشفت الثغرات الأمنية التي كان عدد منها يمنح المهاجمين سيطرة كاملة على تطبيقات العملاء والموظفين.

دودة خبيثة في Apple iCloud

من بين العيوب الخطيرة الموجودة في الأجزاء الأساسية من البنية التحتية لشركة Apple، تلك التي كانت ستسمح للمهاجم بتعريض تطبيقات العملاء والموظفين للخطر عبر إطلاق دودة خبيثة قادرة على الاستيلاء تلقائياً على حساب الضحية على iCloud مما يسمح للمهاجمين بسرقة جميع المستندات والصور ومقاطع الفيديو الخاصة.

هذا بالإضافة إلى التمكن من ولوج شفرات المصادر الخاصة بمشاريع آبل الداخلية، والسيطرة الكاملة على برنامج مستودع التحكم الصناعي الذي تستخدمه Apple، والقدرة على إدارة جلسات موظفي الشركة مع إمكانية الوصول إلى أدوات الإدارة والموارد الحساسة.

ومن بين 55 نقطة ضعف تم اكتشافها، تم تصنيف 11 منها بدرجة حرجة، و 29 حالة شديدة الخطورة، و 13 بدرجة خطورة متوسطة، واثنتان بدرجة خطورة منخفضة. صنف الباحثون الأخطاء بناءً على تصنيف شدة الضعف في CvSS، وتأثيرها المرتبط بالعمل اليومي.

علاقة الثغرة بخدمة البريد الالكتروني

خدمة البريد الالكتروني هي عبارة عن نظام أساسي كامل يسمح للمستخدمين بإرسال واستقبال رسائل البريد الإلكتروني المشابهة لـ Gmail و Yahoo. بالإضافة إلى ذلك، يحصل المستخدم على تطبيق بريد على كل من iOS و Mac يتم تثبيته افتراضياً على المنتجات. وبذلك يتم استضافة خدمة البريد www.icloud.com جنباً إلى جنب مع جميع الخدمات الأخرى، مثل تخزين الملفات والمستندات.

وبالتالي، من منظور المهاجمين، أي ثغرة أمنية في البرمجة النصية عبر المواقع الالكترونية ستسمح للمهاجم بالدخول وسرقة أي معلومات يريدها من خدمة iCloud، والخدمات المرتبطة بها.

تجدر الإشارة إلى أنه ولسوء الحظ، لا يوجد ضمانات على أن هذه الثغرات الأمنية لم يتم استغلالها من قبل جهات تهديد متطورة قامت سابقاً بشن الهجومات الصامتة على الضحايا. والأسوأ من ذلك، من المحتمل وجود المزيد من الثغرات المماثلة غير المكتشفة وقد تكون معروفة لدى مجموعات القرصنة التي تجني الكثير من المال من خلال استغلالها يومياً.