«قرصان أخلاقي» يخترق كاميرا و«ميكروفون» هواتف «آي فون»

سجل خبير أمن معلومات يحمل صفة «قرصان أخلاقي أبيض»، نجاحاً باهراً في مواجهة أو تحدٍ جرى بينه وبين شركة «أبل»، لكسر أنظمة التأمين الموجودة في هواتف «آي فون» التي تصنعها الشركة، واكتشاف ما بها من عيوب وثغرات أمنية، فاتت على فريق «أبل» الأمني. واستطاع هذا القرصان الأبيض هزيمة «أبل»، والكشف عن ثغرات أمنية عالية الخطورة في هواتف «آي فون»، مكنته من شن هجوم ناجح، انتهى بسيطرته على كاميرا و«ميكروفون» الهاتف. وبعد ثبوت نجاح الهجمة، كافأته «أبل» بجائزة قدرها 75 ألف دولار، على الرغم من أنه أنهى التحدي بالكامل خلال أسبوع.

تحدٍ

ونشر موقع مجلة «فوربس» أخيراً تفاصيل هذا التحدي، موضحاً أن وقائعه جرت في الثاني من ديسمبر 2019، حينما بدأ الخبير الأمني، رايان بيكرين، الذي يحمل صفة «قرصان أخلاقي أبيض»، تحديه لشركة «أبل»، حيث تمكن خلال أسبوع من تنفيذ هجومه بنجاح، وأبلغ «أبل» بتفاصيله الكاملة.

وأقرت الشركة بصحة الهجوم بعد أن راجعت وقائعه ووثائقه الفنية، وأصدرت تحديثين جديدين على برنامج «سفاري» لتنفيذ توصيات بيكرين، الأول صدر في 28 يناير الماضي، لإصلاح الدفعة الأولى من الثغرات الأمنية التي كشفها بيكرين، والثاني صدر في 24 مارس لعلاج بقية الثغرات التي اعتبرتها «أبل» أقل حدة من الأولى. ووفقاً لذلك دفعت «أبل» 75 ألف دولار مكافأة لبيكرين على جهوده في كشف تلك الثغرات، ونجاحه في كسب التحدي أمام فريق «آي فون» الأمني.

فرضية

ووفقاً للمجلة، قال بيكرين، إن لديه فرضية بأن أنظمة التأمين في هواتف «آي فون» غير آمنة، ويمكن اختراقها وتجاوزها، ثم أبلغ «أبل» أنه سيدخل التحدي لإثبات فرضيته، التي انطلقت من فكرة أن «أبل» وضعت نظام تأمين قوياً وصارماً للتعامل مع أي تطبيق من غير منتجات «أبل» يعمل على «آي فون». وأضاف أنه بحسه الأمني خمّن أن «أبل» لا تطبق المعايير نفسها مع تطبيقاتها وبرامجها هي، مشيراً إلى أنه من واقع خبرته توقع أن متصفح «سفاري» الذي يعمل على هواتف «آي فون»، هو على الأرجح التطبيق الأضعف الذي يمكن استغلاله للنفاذ إلى الهاتف والتحكم فيه.

الكاميرا و«الميكروفون»

من جهتها، قبلت «أبل» التحدي، وبدأ بيكرين يختبر فرضيته، ويبحث عن الثغرات التي خمّن وجودها في «سفاري». وخلال أسبوع من بدء التحدي، اكتشف سبع ثغرات أمنية في المتصفح. وركز بيكرين على النموذج الأمني لكاميرا و«ميكروفون» هواتف «آي فون»، لمعرفة ما إذا كان من الممكن اختراقه باستغلال هذه الثغرات الموجودة في المتصفح. وفي هذا الصدد وجد أن نقاط الضعف تتيح له القيام بالعديد من الأمور داخل هواتف «آي فون»، منها ما يعرف بـ«تحليل معرفات الموارد الموحدة»، و«أصول الويب المدارة»، و«أداة تهيئة السياقات الآمنة»، و«الإجراء المضاد لخداع المستخدم لزيارة موقع ويب ضار». ومن جملة هذه الأشياء، توصل إلى أنه يمكن من خلال هذه الأمور أن يقوم موقع إلكتروني ما، بالوصول مباشرة إلى كاميرا «آي فون» و«ميكروفونه»، والتحكم فيهما، بشرط أن يكون المستخدم وثق مسبقاً بهذا الموقع، واشترك فيه، مثل موقع «زووم» لمؤتمرات الفيديو، وهنا يكون متاحاً شن الهجوم بنجاح والوصول للكاميرا والميكروفون والسيطرة عليهما، أثناء مشاركة المستخدم في هذه المؤتمرات، وربما بعد انتهائها.

ووضع بيكرين هذا السيناريو موضع التنفيذ، واستخدم ثلاث ثغرات فقط، وشن بها هجوماً ناجحاً، تمكن من خلاله من اختراق إجراءات تأمين الكاميرا و«الميكروفون» وأصبح بإمكانه التحكم فيهما عن بُعد من دون علم مستخدم الهاتف.

إبلاغ «أبل»

وفقاً للقواعد المتبعة في عمليات «الاختراق الأخلاقي»، أبلغ بيكرين «أبل» رسمياً، بنتائج عمله كاملة، وقام فريق «أبل» الأمني بمراجعة أعماله، وبنهاية ديسمبر اعترفت «أبل» رسمياً بصحة ما قام به بيكرين. يُذكر أن بيكرين ليس أول قرصان أخلاقي أبيض يحصل على مكافأة، فطبقاً للتصنيف الذي اعتمدته منصة «هاكر وان» الإلكترونية عن أعمال أمن المعلومات للعام الماضي الخاصة بالقرصنة البيضاء، فإن الأرجنتيني، سانتياغو لوبيز البالغ من العمر 19 عاماً جمع ثروة تتعدى المليون دولار من القرصنة البيضاء، وتبعه في ذلك الأسترالي، ناثانيل واكيلام البالغ من العمر 24 عاماً، والمعروف في عالم القرصنة البيضاء بالاسم الحركي «نافي»، وحقق هو الآخر ثروة تزيد على المليون دولار من خلال هذه الأعمال.

ريان بيكرين

ريان بيكرين، هو مهندس أمن معلومات سابق بشركة «أمازون»، في نهاية العشرينات من العمر، لديه خبرات ومهارات عالية في عمليات «الاختراق الأخلاقي»، أي التي تتم بصورة مشروعة وقانونية، بغرض كشف الثغرات وعلاجها. وكان أول دخول له إلى عالم القرصنة، عندما اخترق شبكة جامعة جورجيا وهو طالب. وكتب عبارة على الشبكة، كانت سبباً في إيداعه السجن ليلة عيد الميلاد، مع إلزامه بالعمل في الخدمة المجتمعية لمدة عام في جمعية غير هادفة للربح متخصصة بأمن الإنترنت وأمن المعلومات. وخلال عمله مع الجمعية، صقل مواهبه، بل وكسب 300 ألف دولار من عمليات الاختراق الأخلاقي، وكانت بداية لعمله في «أمازون» الذي بدأه بعملية قرصنة بيضاء قام خلالها بهجمة قرصنة على أجهزة ونظم «أمازون».