02/09/1440 - 12:45

«قوقل» تتهم «آبل» بـ«ممارسات مضللة»

انتقد فريق قوقل الأمني المسمى «Project Zero» عبر تدوينة جديدة طريقة شركة آبل في معالجة الأخطاء والثغرات الأمنية، حيث قال إن آبل تعمد إلى تغيير ملاحظاتها الأمنية بشكل سري بعد نشرها، وهو ما أطلق عليه فريق قوقل الأمني تسمية «ممارسات مضللة»، بالإضافة إلى حديثه عن الخطر المحتمل بالنسبة لمستخدمي نظام آبل التشغيلي MacOS، وأشار الفريق إلى أن شركة آبل تعمد إلى إصلاح مشكلات وثغرات نظامي التشغيل iOS وMacOS بدون إعلام المستخدمين.

وكانت شركة قوقل قد أنشأت فريق «Project Zero» لتحسين أمان الإنترنت، بما في ذلك منتجاتها ومنتجات الجهات الخارجية، لذلك فإن حقيقة أن أبحاث الفريق قد عثرت على أخطاء في متصفح الويب سفاري Safari من آبل ليست مفاجأة.

ويناقش جزء كبير من التدوينة استخدام قوقل لأداة متاحة للجمهور للعثور على أخطاء قابلة للاستغلال ضمن متصفح سفاري Safari. وأوضح فريق «Project Zero» أنه استخدم نفس الأداة المطورة من قبل إيفان فراتريك Ivan Fratric منذ عام لتحديد 17 ثغرة، وأنه وجد هذا العام 9 ثغرات جديدة، وقامت آبل بإصلاح هذه الثغرات جميعًا بعد إخبارها وقبل نشر التقرير.

وقال الباحثون إن معظم الثغرات الأخيرة كانت في قاعدة بيانات Apple WebKit، وأن تلك الثغرات تواجدت لمدة ما بين ستة أشهر وسنة قبل أن تتم معالجتها، وكانت لتستمر لوقت أطول إذا لم تكن قوقل قد أبلغت عنها، مما يعطي المهاجمين قدرة على إلحاق ضرر أكبر وأكثر تأثيرًا، واقترح فريق Project Zero أنه إذا استخدمت آبل نفس أداة اختبار الأخطاء العامة المسماة Domato، فمن الممكن أن يتم اكتشاف الأخطاء قبل إطلاقها بدلاً من ترك المستخدمين عرضة للخطر.

وأعربت قوقل عبر فريقها Project Zero عن القلق من الطريقة التي عالجت بها آبل المشكلات مع المستخدمين، حيث أصلحت آبل في الشهر الماضي الثغرات الموجودة في نظامي التشغيل iOS 12 و TVOS 12 ومتصفح سفاري Safari 12، لكنها لم توضح تلك الإصلاحات ضمن ملاحظاتها الأمنية المنشورة حينها، وجاء التحديث بعد ثلاثة أشهر تقريبًا من الإبلاغ عن المشكلات.

وقال فريق Project Zero: «إن هذه الممارسات مضللة لأن العملاء المهتمين بتقارير الأمان من آبل سوف يقرأونها على الأرجح مرة واحدة فقط عندما يتم إصدارها لأول مرة ويكون الانطباع الذي سيحصلون عليه هو أن تحديثات المنتج تعمل على إصلاح عدد نقاط ضعف أقل وأخف حدة مما هو في الواقع».

وأضاف الفريق أن ممارساتها المتعلقة بعدم نشر إصلاحات أنظمة تشغيل الأجهزة المحمولة أو أجهزة سطح المكتب في نفس الوقت يمكن أن يضع عملاء سطح المكتب في خطر غير ضروري، وذلك لأن المهاجمين يمكنهم استخدام الهندسة العكسية من أجل تحليل تحديثات نظامها للأجهزة المحمولة وتطوير عمليات استغلال ضد نظام تشغيلها لأجهزة حواسيب سطح المكتب، ولن يكون لدى عملاء حواسيب سطح المكتب طريقة لتحديث وحماية أنفسهم.

المصدر alarabiya

0
قم بتقييم هذا المحتوى

إضافة تعليق جديد

Image CAPTCHA