ثغرات أمنية جديدة تهدد مستخدمي أجهزة أبل.. ما القصة؟

اكتشف فريق من الباحثين في “جامعة جورجيا التقنية” ثغرتين أمنيتين خطيرتين تؤثران على أحدث معالجات أجهزة أبل، مما يعرّض خصوصية ملايين المستخدمين حول العالم للخطر. 

وتتيح الثغرتان الجديدتان، اللتان تحملان اسم “SLAP” و”FLOP”، للقراصنة استغلال ثغرات في بنية المعالجات للوصول إلى بيانات حساسة مثل رسائل البريد الإلكتروني، ومعلومات بطاقات الائتمان، وسجل التصفح، وحتى الموقع الجغرافي للمستخدمين.

كيف تعمل الثغرتان؟

تنتمي الثغرتان إلى فئة هجمات القنوات الجانبية (Side Channel Attacks)، التي تعتمد على تحليل سلوك المعالج لاستخلاص معلومات حساسة دون الحاجة للوصول المباشر إلى الجهاز.

وتستغل هذه الهجمات تقنية “التنفيذ التخميني” (Speculative Execution)، وهي ميزة في معالجات أبل تهدف إلى تحسين الأداء عبر التنبؤ ببيانات قد يحتاجها المستخدم وتحميلها مسبقاً، إلا أن هذه التقنية قد تؤدي عن غير قصد إلى كشف بيانات محمية للمهاجمين.

وتُعتبر ثغرة “FLOP” الأخطر بين الثغرتين، إذ تستهدف وحدة التنبؤ بقيمة التحميل (LVP) في معالجات أبل.

ومن خلال خداع هذه الوحدة، يتمكن المخترقون من قراءة محتوى الذاكرة الذي يجب أن يكون محمياً، مما يتيح لهم الوصول إلى معلومات حساسة مثل بيانات خرائط غوغل، ورسائل البريد الإلكتروني، والفعاليات المجدولة في تطبيق “آي كلاود”.

وتزداد خطورة “FLOP” لأنها تؤثر على متصفحي “سفاري” و”غوغل كروم” معاً، ما يمنح المهاجمين نطاقاً أوسع لتنفيذ هجماتهم.

أما ثغرة “SLAP”، فهي تستهدف وحدة التنبؤ بعنوان التحميل (LAP)، وتسمح للقراصنة باستغلال ضعف في هذه الوحدة لجعل المتصفح يحمّل محتوى خاطئاً، مما يسمح بقراءة بيانات من تبويبات أخرى مفتوحة في نفس النافذة.

وعلى سبيل المثال، إذا كان المستخدم يتصفح بريده الإلكتروني عبر “Gmail” وفتح في نفس الوقت موقعاً خبيثاً، يمكن لهذا الموقع الوصول إلى أجزاء من الرسائل الإلكترونية.

ورغم خطورتها، فإن تأثير “SLAP” يقتصر فقط على متصفح “سفاري”، مما يجعل نطاق تأثيرها أقل مقارنة بـ”FLOP”.

ما هي الأجهزة المتأثرة؟

تؤثر الثغرتان على الأجهزة التي تعمل بمعالجات M2 والإصدارات الأحدث، بالإضافة إلى معالجات A15 وما بعدها.

وتشمل قائمة الأجهزة المتضررة:

• جميع أجهزة “ماك” المحمولة التي تم إصدارها منذ عام 2022.
• أجهزة “ماك” المكتبية التي تم إطلاقها منذ عام 2023.
• جميع إصدارات “آيباد برو”، و”آيباد إير”، و”آيباد ميني” الصادرة منذ سبتمبر/أيلول 2021.
• هواتف “آيفون” من الإصدارات 13 حتى 16، بالإضافة إلى “آيفون SE 3”.

كيف ردّت أبل؟

تلقى فريق أبل بلاغاً عن الثغرتين الأمنيتين في مايو/أيار وسبتمبر/أيلول من عام 2024، لكن حتى الآن لم تُصدر الشركة الأميركية أي تحديث أمني لمعالجة هذه الثغرات في معالجاتها.

ورغم هذا التأخير، أكدت أبل في تصريح لموقع “Bleeping Computer أنها تعمل على تطوير تصحيح أمني سيتم تضمينه في تحديث قادم لنظام التشغيل.

وأضافت: “نقدّر تعاون الباحثين في تقديم هذا الدليل التقني الذي يساعدنا على فهم هذه التهديدات بشكل أفضل.. وبناءً على تحليلنا، لا نعتقد أن هذه الثغرات تشكل خطراً مباشراً على مستخدمينا”.