ثغرة خطيرة في أجهزة آبل ترمي بنظام التشفير SSL عرض الحائط
بقلم لؤي العقاد، مطور ويب.
أطلقت شركة آبل منذ يومين تحديثين لنظام التشغيل الخاص بها iOS يحملان الرقمين 7.0.6 و 6.1.6. و جاء في وصف التحديث أنه “يسد ثغرة في بروتوكل SSL” دون أي توضيح، كما لم يبدي أحد الإهتمام لهذا التحديث. و لكن تبين فيما بعد أن المشكلة ليست مجرد “ثغرة” عادية، هذه الثغرة تلقي ببروتوكول التشفير SSL عرض الحائط.
ما هو بروتوكول SSL؟
بروتوكول SSL هو البروتوكول المسؤول عن التأكد من موثوقية و حماية البيانات المرسلة على شبكة الإنترنت، حتى لا يتمكن طرف خارجي من معرفة البيانات المتبادلة أو التلاعب بها. هذا البروتوكول يتم دمجه مع بروتوكولات أخرى أحياناً مثل بروتوكول HTTPS المسؤول عن تصفح الويب بشكل آمن.
ما هي الثغرة؟
الثغرة موجودة في المكتبة البرمجية الخاصة بآبل المسؤولة عن هذا البرتوكول، في كلا نظامي iOS و OS X. و تحديداً في عملية التحقق من هيئة التوثيق. و هذه الثغرة تمكن المخترق من شن هجوم رجل-في-الوسط على الضحية، بمعنى أنه في حال تمكن من الوقوف بين الضحية و الخادم الذي يتصل به يمكنه خرق حماية البروتوكول. و ليتمكن من هذا يجب أن يكون على نفس الشبكة مع الضحية (كشبكات الوايرلس) أو على مستوى أعلى (كمزود خدمة الإنترنت).
كم هي خطيرة؟
كدليل على مدى خطورة هذه الثغرة، الكثير من المطورين رفضوا شرحها بالتفصيل لسهولة تنفيذها و تأثيرها الكبير. باختصار الثغرة تؤثر على جميع البرامج التي تستعمل مكتبة تشفير آبل و منها متصفح سفاري، تطبيق البريد، تطبيقات المفكرة و جهات الإتصال.
قام آدم لانغلي لاحقاً بشرح هذه الثغرة بالتفصيل على مدونته الشخصية. و باختصار فإن سببها هو “سطر برمجي واحد” تم تكراره مرتين بالخطأ من بين حوالي ٢٠٠٠ سطر، هذا السطر جعل عملية التشفير بكاملها تقريباً بلا قيمة.
لذلك ينصح لكل من يمتلك أي جهاز يعمل على نظام آي أو إس بالتحديث إلى آخر إصدار بأسرع وقت. أما بخصوص نظام أو إس إكس فلا يوجد أي طريقة لسد هذه الثغرة حتى الآن، سنوافيكم بالتحديثات حال ورودها. ينصح في الوقت الحالي بعدم الاتصال بالشبكات غير الموثوقة و استخدام متصفح فايربوكس أو كروم للتصفح الآمن.
