كشف باحث في الأمن
السيبراني، ثغرة في تطبيق الاتصال "زووم"، يمكنها مهاجمة إصدار "ماك
أو أس" من خلالها.
وتم الكشف عن تفاصيل
الثغرة في عرض تقديمي قدمه باتريك واردل المتخصص في أمن "ماك" في مؤتمر
للقرصنة في لاس فيغاس، نظم الجمعة.
وتم بالفعل إصلاح بعض
الأخطاء، لكن الباحث قدم أيضا ثغرة أمنية واحدة غير مصححة لا تزال تؤثر على
الأنظمة حتى الآن، وفق ما نقلته مجلة "ذا فيرج".
وتظهر الثغرة من خلال
استهداف برنامج التثبيت لتطبيق "زووم"، الذي يحتاج إلى تشغيله إذنا
خاصا من المستخدم، من أجل تثبيته أو إزالته من جهاز الكمبيوتر.
وعلى الرغم من أن
المثبّت يتطلب من المستخدم إدخال كلمة المرور الخاصة به عند إضافة التطبيق أولا إلى
النظام، فقد وجد واردل أن وظيفة التحديث التلقائي تعمل بعد ذلك باستمرار في
الخلفية بامتيازات المستخدم.
وعندما أصدر تطبيق "زووم"
تحديثه الأخير، قام بتثبيت حزمة جديدة من آليات الحماية بعد التحقق من توقيعها
بشكل مشفر.
لكن أي خطأ في كيفية
تنفيذ طريقة الفحص يعني إعطاء المحدث فرصة لولوج التطبيق، مثل إدخال ملف يحمل اسما
مماثلا لشهادة توقيع زووم "إذ سيكون ذلك كافيًا لاجتياز تلك الآليات"
وفق ذات المختص.
نتيجة لذلك، يكون
المهاجم قد حصل بالفعل على وصول مبدئي إلى النظام المستهدف ثم يستخدم ثغرة أخرى
للحصول على مستوى أعلى من الوصول.
وفي هذه الحالة، يبدأ
المهاجم بحساب مستخدم مقيَّد ولكنه يتصاعد إلى أقوى نوع مستخدم، أو ما يُعرف باسم
"المستخدم المتميز"، ما يسمح له بإضافة أو إزالة أو تعديل أي ملفات على
الجهاز.
وواردل هو مؤسس شركة
"أوبجيكتف سي فاونديشن"، وهي منظمة غير ربحية تنشئ أدوات
أمان مفتوحة المصدر لنظام "ماك أو أس".
وأبلغ واردل
"زووم" عن الثغرة الأمنية في كانون ثاني/ ديسمبر، من العام الماضي، لكنه
أصيب بالإحباط، حيث قال إن الإصلاح الأولي من زووم احتوى على خطأ آخر يعني أن
الثغرة الأمنية لا تزال قابلة للاستغلال بطريقة ملتوية قليلا، لذلك فإنه كشف هذا الخطأ
الثاني لـ"زووم"، وانتظر ثمانية أشهر قبل نشر البحث.