اكتشف مطور البرمجيات أبراهام ماسري ثغرة تدعى "ChaiOS"، ونشرها على موقع GitHub قبل أيام.
صرح ماسري لـBuzzfeed بأنه توصل إلى هذه الثغره في أثناء التلاعب بنظام التشغيل، أو بعبارة أخرى، في أثناء محاولته اختراق نظام التشغيل عن طريق وضع حروف عشوائية داخل الكود الداخلي .
التغريدة التي كتبها ماسري تقول: "القوة الضاربة عادت يا صغيري.. أرسِل الرابط أدناه في رسالة، سيوقف جهاز المستخدم وربما يعيد تشغيله من جديد.. لا تستخدمها في الأغراض السيئة".
رابط هذه الصفحة على GitHub سيعطل هاتفك حتى لو لم تضغط عليه
إذا ما أراد أحدهم أن يُغضبك، فلن يحتاج سوى رقم هاتفك ليفعل ذلك، لا تتطلب الثغرة أي إجراء منك حتى تقوم بعملها.
أحد مستخدمي تويتر وهو أحد من اختبروا الأمر، قال لـ BuzzFeed: "بعد إرسال الرابط، فإن الهاتف سيتوقف بضع دقائق، ثم سيعود للعمل من جديد في أغلب الأحوال".
وبحسب أرون، فإنه بعد ذلك لن يقوم تطبيق الرسائل بإعادة تحميل أية رسائل، وسيستمر في الانهيار.
وقد اختبر هذه الثغرة على هاتفي آيفونX وآيفون 5s، وقال إن الثغرة تؤثر على نسخ أنظمة تشغيل ios من 10.0 وحتى 11.2.5 بيتا 5 (beta 5). لكنه لم يختبر مدى قابلية آخر نسخة من نظام iOS وهي 11.2.5 بيتا 6 (beta 6) والتي صدرت مؤخراً. تستطيع الثغرة أيضاً التأثير على حواسب ماك، بحسب ما قال ماسري.
ليست هذه هي الثغرة الأولى من نوعها في تطبيق رسائل الآيفون؛ ففي 2015 تسببت سلسلة قصيرة من أحرف اليونيكود في تعطيل الأجهزة، وفي 2016 تسبب رابط سيئ في تعطيل متصفح سفاري (Safari) الخاص بحواسب وهواتف آبل.
حينما يرسل أحدهم رابطاً لأحد المواقع عبر رسائل نظام ios، فإن التطبيق يقوم بعرض هذا الرابط. وبحسب دليل البرمجة الخاص بـApple، فإن النظام يسمح لمطوري البرمجيات بوضع بعض الحروف في روابط مواقعهم الإلكترونية لتخصيص الصورة والعنوان لذلك الرابط في أثناء عملية المعاينة بالرسائل.
إليكم كيف تبدو معاينة الروابط في رسائل الفيسبوك
بدلاً من عددٍ قليلٍ من الأحرف، أدخل ماسري مئات الآلاف من الأحرف في البيانات الخلفية لصفحة الموقع، أو ما يُعرف بواصفات البيانات، أكثر بكثير مما توقع نظام تشغيل ios؛ وهو ما أسفر عن تعطل تطبيق الرسائل، حسبما يظن ماسري. ثم قام بوضع الرمز على موقع GitHub، ما جعله متاحاً ليستخدمه الآخرون.
لم تستجب آبل بشكل فوري لطلب التعليق على الأمر.
أُوقفت صفحة GitHub وتم تعطيل حساب ماسري.. لكن ذلك لا يعني أن مستخدمي iOS آمنون
أضاف ماسري: "صفحتي على GitHub متاحة بشكل علني، مما يعني أنه بوسع أي شخصٍ نسخ الكود، أنا متأكد من أن شخصاَ آخر نشر الكود، لكنني لن أعيد استضافة الرابط مرة أخرى".
قامت GitHub بتعليق حساب ماسري، ثم أعادته بعد بضع ساعات، لكن كود الثغرة كان قد حُذف من صفحة حسابه.
من المرجح أنه جرى إعادة تحميل الروابط الكودية في أي مكان آخر، وقد تكون هناك روابط أخرى تستغل هذه الثغرة ChaiOS. قال ماسري إنه نشر هذا الخطأ أو الثغرة؛ لتنبيه آبل.
وأضاف: "لم تكن نيتي إساءة استخدامها، لقد كان غرضي هو الوصول لآبل وإعلامهم بأنهم يتجاهلون تقاريري عن الثغرات، فأنا دائماً ما أبلغ عن الأخطاء قبل الإعلان عنها".
وأضاف ماسري أنه تلقى رسالتي بريد إلكتروني تلقائي من آبل بعدما أبلغ في 15 يناير/كانون الثاني 2018، لكنه لم يتلقَ إجابة تشير إلى أن الشركة تضع الأمر في الاعتبار أو تخطط لإصلاحه، إن ChaiOS ليست الثغرة الأولى التي أخبر بها آبل، يقول: "ذات مرة أبلغت عن ثغرةٍ تُعرض شاشة العرض للتوقف، يجب ألا يكون ذلك ممكناً، خاصة أن الثغرة تعمل على أحدث نسخة من IOS، لكنني بعدما أرسلت لهم، قالوا إنهم لا يعتبرون هذا أمراً مقلقاً".
"لقد كانت الثغرة التي نشرتها للفت انتباه آبل. إنه مجرد ملف HTML، وعادة ما يستضيف GitHub روابط اختراق وحتى ملفات ipa، التي قد تحوي ملفات ضارة، لا أفهم لماذا تحظرون حسابي! وبالمناسبة، دائماً ما أُبلغ عن الثغرات قبل الإعلان عنها".
لم تستجب آبل لطلب التعليق بشكل فوري عما إذا كانت تلقت تقارير الأخطاء والثغرات التي أرسلها ماسري.
يضيف ماسري: "ما الذي يمكننا فعله الآن؟ إذا تلقيت رسالة بها رابط سيئ لتفعيل ثغرة ChaiOS فقم بمسح الرسالة لو استطعت ذلك".
في بعض الحالات، إذا قمت بفتح تطبيق الرسائل، فسيستمر في الانهيار حتى قبل أن تستطيع حذف الرسالة. إذا كانت الرسالة قد تسببت في دورة متكررة من تعطيل الهاتف، فبإمكانك أن تقوم بعمل إعادة ضبط المصنع للهاتف، لكن حينها ستُمحى الصور والبيانات المحفوظة، وإعدادات الهاتف.
ينصح ماسري بالتحديث الدائم لهاتفك من طراز آبل أو الأيباد، حتى آخر نسخة من نظام تشغيل IOS؛ فهو يحوي مسارات حماية من مثل هذه الثغرات.
اقترح بعض المستخدمين تعطيل رابط تشغيل GitHub على متصفح Safari، عن طريق اختيار: إعدادات التطبيق< عام< القيود< تفعيل القيود< المواقع< الحد من محتوى البالغين< عدم السماح مطلقاً< GitHub.io.
سوف يحميك ذلك، فقط إذا أُعيد نشر المعلومات البرمجية على GitHub، لكنها لن تكون فعالة إذا نشرها أحدهم على خوادم الويب الخاص به.
كيف تحمي نفسك
قم بحظر (رابط النطاق) عبر إعدادات القيود في سفاري، وحينها لن يقوم الآيفون بتحميل الرابط حتى لو تلقاه.
