كشف أحد مستخدمي منصة “جيت هاب” GitHup الخاصة بالمطورين عن ثغرة في تطبيق البريد الإلكتروني، بالإصدارات الحالية من نظام 8 iOS، تُمكنه من خداع مستخدمي أجهزة آبل الذكية والحصول على الاسم والرقم السري لحساباتهم الخاصة على خدمة “آي كلاود” iCloud السحابية.
وقد تتضمن الحسابات الخاصة لمستخدمي أجهزة آبل الذكية على خدمة “آي كلاود” ملفات أو معلومات، مثل الصور ومقاطع الفيديو الخاصة بالمستخدمين، مما يزيد من خطورة الثغرة التي تسمح لمستغليها بالسيطرة على الحسابات والوصول إلى تلك الملفات الحساسة.
وأوضح المستخدم، Jansoucek على حسابه بمنصة “جيت هاب”، أن الثغرة تتيح تحميل أكواد مكتوبة بلغة HTML ضمن محتوى الرسائل، وهي الأكواد التي يقوم تطبيق البريد الإلكتروني، Mail، بقرائتها وتحويلها لمحتوى مرئي يتم عرضه للمستخدم.
وأضاف أن مُستغل الثغرة قد يدمج ضمن رسالة بريد إلكترونية مضللة، أكواد لنافذة منبثقة مصممة بشكل مطابق لنافذة تسجيل الدخول في خدمة “آي كلاود”، ومن ثم يطلب من المستخدم إعادة كتابة اسم حساب Apple ID والرقم السري الخاص به من أجل الدخول مجددا إلى خدمة التخزين السحابي.
ويتم فور إدخال الضحية لبيانات حساباها الشخصي بالخدمة السحابية في النافذة المنبثقة المزيفة، إرسال تلك البيانات لمُستغل الثغرة دون علم الضحية.
وأشار المستخدم المكتشف للثغرة إلى أنه قام بإبلاغ آبل بالثغرة في يناير الماضي، إلا أنها لم تقم حتى الآن بطرح علاج لها، وأنها موجودة في الإصدار iOS 8.1.2 والإصدارات اللاحقة.
ومن جانبها، أكد متحدث رسمي باسم آبل علمها بالثغرة، وأنها لم تتلق حتى الأن أي تقارير تفيد بتأثر أي مستخدم بها، وأنها تعمل على إطلاق حل لمعالجتها قريباً؛ ونصح المتحدث المستخدمين بضرورة استخدام طريقة التحقق بخطوتين لزيادة أمان حساباتهم وعدم التأثر بأي هجوم ناتج عن هذه الثغرة.
يذكر أن آبل كانت قد كشفت قبل أيام عن الإصدار iOS 9 الجديد في مؤتمرها للمطورين، واعدة بأنها ستطرح النسخة التجريبية منه في يوليو بغرض الاختبار، قبل أن تطرحه بشكل نهائي في أحد شهور فصل الخريف المقبل.