باحث يخترق أكثر من 35 شركة تقنية من بينها “آبل” و “مايكروسوفت”

14 فبراير 2021
باحث يخترق أكثر من 35 شركة تقنية من بينها “آبل” و “مايكروسوفت”
عدن نيوز - تكنولوجيا :

ذكرت التقارير أنّ الباحث الأمني أليكس بيرسان، اكتشف ثغرة أمنية سمحت له بتشغيل التعليمات البرمجية عبر خوادم أكثر من 35 شركة تقنية، من ضمنها “آبل” و “مايكروسوفت” و “باي بال” و “نيتفليكس” و “شوبيفاي” و “تيسلا” و “أوبر”.

ويعتبر الاستغلال بسيطاً بشكل مخادع، وهو أمر يتعين على العديد من مطوري البرامج الكبار معرفة كيفية حماية أنفسهم منه، وفق ما ذكر موقع “ذا فيرج” الالكتروني.

ويستفيد الاستغلال من خدعة بسيطة نسبياً تتمثل في استبدال الحزم الخاصة بأخرى عامة. وعندما تقوم الشركات ببناء برامج، فإنها غالباً ما تستخدم تعليمات برمجية مفتوحة المصدر مكتوبة من أشخاص آخرين، لذا فهم لا يقضون الوقت والموارد في حل مشكلة تم حلها بالفعل.

ويمكن العثور على هذه البرامج المتاحة للجمهور في مستودعات، مثل: “npm” و “PyPi” و “RubyGems”. وبحسب التقارير، فإنّ بيرسان وجد أنّ هذه المستودعات يمكن استخدامها لتنفيذ هذا الهجوم، لكن الأمر لا يقتصر على الـ3 فقط.

وبالإضافة إلى هذه الحزم العامة، غالباً ما تقوم الشركات ببناء حزم خاصة بها، التي لا تقوم بتحميلها، لكن بدلاً من ذلك توزعها بين مطوريها، ومن هنا وجد بيرسان الثغرة.

واكتشف بيرسان ما إذا كان بإمكانه العثور على أسماء الحزم الخاصة التي تستخدمها الشركات، وهي مهمة اتضح أنها سهلة للغاية في معظم الحالات.

وكان بإمكانه تحميل التعليمات البرمجية الخاص به إلى أحد المستودعات العامة التي تحمل الاسم نفسه، وتستخدم الأنظمة الآلية للشركات تعليماته البرمجية بدلاً من ذلك.

ولن تقوم الشركات بتنزيل الحزمة الخاصة به بدلاً من الحزمة الصحيحة فقط، بل تقوم أيضاً بتشغيل التعليمات البرمجية بداخلها.

ويبدو أن الشركات اتفقت على أن المشكلة خطيرة. وفي رسالته عبر منصة “Medium”، أشار بيرسان إلى أن غالبية مكافآت الأخطاء الممنوحة تم تحديدها بالحد الأقصى المسموح به بموجب سياسة كل برنامج، وأحياناً أعلى.

وحصل الباحث على أكثر من 130 ألف دولار من مكافآت الأخطاء، وذلك بالنظر إلى جهوده البحثية الأخلاقية. وبحسب بيرسان، فقد تمكنت معظم الشركات التي اتصل بها بشأن الاستغلال من تصحيح أنظمتها بسرعة حتى لا تكون عرضة للخطر.

ومع هذا، فقد قدّمت “مايكروسوفت” مستنداً تقنياً يشرح كيف يمكن لمسؤولي النظام حماية الشركات من هذه الأنواع من الهجمات، لكن من المدهش أن الأمر استغرق كل هذا الوقت حتى يدرك شخص ما أن هذه الشركات الضخمة كانت عرضة لهذا النوع من الهجمات.