اكتشف باحثون أمنيون أن شركة "هاكينغ تيم Hacking Team" استخدمت بالفعل نسخا معدلة من أكثر التطبيقات شيوعا على متجر "آب ستور" الخاص بنظام آي أو إس لسرقة بيانات المستخدمين.
ودفع تسريب كميات هائلة من البيانات بعد اختراق شركة Hacking Team، المتخصصة أصلا في صناعة أدوات التجسس والمراقبة للحكومات، باحثي شركة "فاير آي FireEye" لدراسة نوع الهجمات التي كانت تستخدمها هذه الشركة.
ومن بين الهجمات التي اكتشفتها شركة "فاير آي"، المتخصصة في مجال أمن المعلومات، تطبيقات أُعدّت لتُستخدم كأسلحة ضمن قائمة أكثر التطبيقات شيوعا على متجر "آب ستور" التابع لشركة آبل، بما في ذلك فيسبوك، وواتساب، وفايبر، وغوغل كروم، وتيليغرام، وسكايب، وذلك بغية سرقة بيانات المستخدمين.
وأوضحت "فاير آي" أن Hacking Team عَدَّلت التطبيقات لتختفي عن أعين الجميع، وتعمل على نحو تبدو معه وكأنها تطبيقات رسمية، في حين تقوم بصمت بسرقة بيانات المستخدمين في الخلفية.
ووفقا للشركة، فإن مكتبةً تُحقن في التطبيقات قادرةٌ على سرقة تسجيلات المكالمات الصوتية على سكايب، ووي تشات، وغيرهما من تطبيقات الدردشة، وعلى اعتراض الرسائل النصية على سكايب، وواتس اب، وفيس بوك مسنجر، وعلى سرقة تأريخ التصفح على غوغل كروم.
ويمكنها أيضا سرقة المكالمات الهاتفية، ومحتوى الرسائل النصية وخدمة "آيمسج iMessage"، بالإضافة إلى تسجيل إحداثيات نظام التموضع العالمي GPS، ومعلومات جهات الاتصال، والصور.
ولفتت "فاير آي" الى أن التطبيقات الخبثية انتفعت من الهجوم الإلكتروني المكتشف سابقا، والمعروف باسم "القناع Masque"، في جعل تثبيتها أمرا ممكنا فوق التطبيقات الرسمية، وذلك عن طريق دفع المستخدم إلى تثبيت ما يبدو أنها "تطبيقات حميدة".
ومع أن الشركة، وهي من اكتشف طريقة الهجوم، كانت قد أبلغت آبل بها العام الماضي وتم إصلاحها في الإصدار 8.1.3 من نظام "آي أو إس" المشغل لأجهزتها الذكية، إلا أن تقريرها الجديد يثبت لأول مرة أن الهجوم قد اُستخدم بالفعل.
ورغم أن الثغرة التي يستغلها هجوم "القناع" قد أُصلِحت، ما يعني استحالة تثبيت تطبيقات خبيثة فوق التطبيقات الرسمية، إلا أنه ما يزال بمقدور المخترقين تعديل "مُعرِّف التطبيقات الخبيثة" والتحايل عليه وتثبيته إلى جانب أي تطبيق رسمي إن كان باستطاعتهم خداع المستخدم لثبيتها.
يُشار الى أن الهجوم لا يتطلب جهازا ذكيا "مكسور القيد" Jailbreak للدخول إليه، فالأمر، وفقا لشركة "فاير آي"، سهل مثل خداع المستخدم للنقر على رابط تثبيت ضمن رسالة بريد إلكتروني.