هل ستنهار قلعة أبل الحصينة؟

[ADMINISTRATOR]

[]

مسألة تسريبات صور المشاهير معروفة ولست بحاجة للخوض فيها، الأمر فقط كَشَفَ عن ثغرات أمنية كبيرة في مجال حماية بيانات المستخدم، وخاصة الموجودة على آي كلاود.

وبالرغم أن الشركة نَفَت انتهاك نظام تخزينها السحابي ومحتوى المستخدمين، هناك أكثر من 100 مستخدم قد تعرض للاختراق ونشر صورهم على الإنترنت.

هذا لا يدل على شيء سوى أن طرق ووسائل أبل القديمة وبراعة مطوريها في طريقها نحو الانقراض. لكن هل من دلائل قوية تشير إلى ذلك؟ أم أنها مجرد توقعات؟ عليّ أن أسرد المزيد من المعلومات والبيانات لنصل إلى إجابة.

مقدمة بسيطة: توقّع خبراء أمنيين أن الطريقة التي استُخْدِمَت للوصول إلى كلمات المرور كان من خلال تشغيل برنامج خاص لإدخال تركيبات من الأحرف المتعددة، إلى أن خمّن كلمة المرور الصحيحة.

في يوليو 2013، حصلت خدمة آي كلاود على ما بلغ عدده نحو 320 مليون مستخدم، وكانت المشكلة حتى وقتٍ قريب أن نفس هذا الكمَّ قد يكون في عداد الضحايا المحتَمَلين أيضًا، بشرط أن يعرف المُختَرِق اسم حساب المستخدم، وهو أمر ليس صعبًا في كل الأحوال معرفة اسم أي مستخدم لأي خدمة.

وتناولت أبل هذه المشكلة عن طريق طرح تحديث لتطبيق Find my iPhone، مما يحد من عدد فشل محاولات تسجيل الدخول إلى خمس مراتٍ فقط، وتعطيل الحساب لأسبابٍ أمنية إذا لم يتم إدخال كلمة السر الصحيحة خلال العدد المسموح. كما يُمكن لصاحب الحساب إعادة تعيين كلمة المرور.

من وظائف هذا التطبيق أيضًا تتبُّع هاتف آيفون المفقود وقفله عن بُعْد من خلال تسجيل الدخول بمعرِّف أبل الذي تم استخدامه في عملية المُصادقة مع Find my iPhone، ويشمل ذلك خدمة آي كلاود.

سنتحدّث الآن عن التوثيق الثنائي 2FA – اختصار Two-factor authentication- وهو أسلوب مُصادقة قوي، ولتوضيحه باختصار وبصورة مُبسَّطة، نستطيع القول إنه يُوفِّر للمُستخدِمين طريقتين لتحديد الهوية، حيث يجمع بين شيء تعرفونه – مثل كلمة المرور أو رمز الـ PIN- وشيء آخر لديكم – مثل البطاقة، أو بصمات الأصابع، أو الوجه،***8230;الخ-. هذا هو عامل التوثيق الثنائي باختصار.

عودٌ أحمدُ إلى عالم أبل من جديد. قام المستخدمون بتفعيل التوثيق الثنائي كإجراء أمني ضد أي هجمات، لكن تناست الشركة أنه في لحظة الكتابة – أي عند تسجيل الدخول- فإن المُحتوى المحفوظ في مركز البيانات عُرضة للحصول بطريقة غير مُصرّح بها.

يُعتبر عامل التوثيق الثنائي ضمانة ضد الاحتيال، وطريقة تُستخدم بشكل شائع على آيتونز، والشراء عبر متجر آب ستور، وكذلك الحصول على الدعم من خلال مُعرّف أبل. لكنه [] النسخ الاحتياطي لآي كلاود، وكذلك Find my iPhone، أو الملفات المحفوظة في الخدمة السحابية.

ما الذي يعنيه ذلك؟ يعني أن المخترقين يُمكنهم أن يعتمدوا فقط على اسم المُستَخدِم وكلمة مروره لاستعادة النسخ الاحتياطي من آي كلاود.

من المسؤول عن ذلك؟ شركة أبل، التي في هذه الأوقات تحديدًا تُروّج أنها لا يُمكن اختراق منتجاتها. لكنها لا ترغب في أن تعايش واقع تلك النتائج العكسية التي تواجهها حاليًا. وعلاوة على ذلك، كانت تعرف الشركة مُسبقًا بهذه المشاكل الأمنية، حيث أن هذا النوع من الهجوم على نظامها الأمني تم الإبلاغ عنه من قبل في شهر مايو الماضي.

أمَّا بالنسبة لفقدان وجود التوثيق الثنائي في خدمات آي كلاود، فهذه مشكلة قديمة تعود إلى نوفمبر 2013، عندما قام فلاديمير كاتالوف – باحث أمني من شركة إلكوم سوفت- في إحدى المؤتمرات الأمنية في فيينا بشرح طريقة عمل آي كلاود، وعرض هذه النقطة باستفاضة آنذاك.

بل ما هو من الصعب تخيُّله، أن كاتالوف قد عرض هذه المشكلة في [] عام 2013. وبالنظر إلى كل ذلك، فإنه كما يبدو، لا تستطيع أبل أن تحمي أحد منتجاتها، هل هي مشكلة لا يُمْكِن إصلاحها؟ تبدو كذلك.

لكن لنفترض حتى أنه تم القضاء على مواطن الخلل، فإنه إلى أن تتم تلك الإصلاحات، حاليًا يعلم المستخدمون أن بياناتهم المُودَعَة في خوادم الشركة عُرْضَة للاختراق.

سيظل في أذهانِ مُعجبيها – لا أتحدث عن الشامتين هنا- أنها فشلت في حماية خصوصية عملائها. وعلى رأس ذلك، هناك المزيد من الأضرار الواقعة على الشركة، التي بدأتها المشاهير بالفعل من رفع دعاوى قضائية عمَّا أُلْحِق بهم من أذى، حتى تعرّض بعضهم للمساومة مِنْ قِبَلِ المُخْتَرِقين. وعادة ما يكون محامو المشاهير شرسين في مثل هذه الإجراءات – بينما تفاحتنا ليست كذلك!-، ويصبحون أكثر شراسة عندما يتعلّق الأمر بشركاتٍ كبرى – يُطالبون بتعويضات مادية وجسدية ونفسية كما تعلمون!-.

خلاصة القول..

قد تعاني أبل من عواقب ما جرى، كما أن لديها عمل شاق في الأيام القادمة؛ من أجل استعادة ثقة المُستَخْدِمين في مُنتجاتها وخدماتها. نصيحتي لها فقط إمَّا أن تعترف بالخطأ وتقوم بإصلاحه، وإمَّا أن تنكره كما فعلت، لكن إذا تكرَّر؛ فلا تلُومنّ إلا نفسها!

المعلومات المذكورة مُترجَمة بتصرف

[]
[]


هذه التدوينة [] ظهرت في البداية في موقع [].

[] [] [] [] []