كيف تمكن مخترق من الوصول لمحادثات الحكومة الأميركية على سيجنال؟
تمكّن أحد القراصنة من الوصول إلى خوادم تطبيق "TM SGNL"، النسخة المعدّلة من تطبيق "سيجنال" (Signal)، خلال أقل من 20 دقيقة، وذلك في عملية استندت إلى استغلال بسيط لثغرة صغيرة، لكنها بالغة التأثير، إذ كشف عن تركيبات برمجية قديمة وإعدادات غير مؤمنة على الإطلاق.
بدأ المخترق رحلته بالوصول إلى لوحة التحكم الخاصة بالنطاق الآمن للتطبيق عبر العنوان: secure.telemessage.com، وفقاً لتصريحاته لموقع Wired.
تشفير عتيق
بمجرد الدخول، لاحظ المخترق أن النظام يعتمد على تشفير كلمات المرور باستخدام خوارزمية MD5 على واجهة المستخدم، وهي خوارزمية قديمة وضعيفة لم تعد تُستخدم في نظم التشفير الحديثة نظراً لقابليتها للاختراق.
الأخطر من ذلك أن التشفير كان يتم على واجهة المستخدم فقط، ما يجعل قيمة "الهاش" الناتجة تُستخدم عملياً ككلمة مرور، وبالتالي يسهل نسخها واستخدامها للدخول مباشرة.
وبعد أن تبين للمخترق ضعف أساليب الحماية، شكّ في أن بنية النظام تعتمد على تقنيات قديمة، وبالفعل وجد أن TeleMessage تستخدم JSP، وهي تقنية لإنشاء تطبيقات الويب ترجع إلى أوائل العقد الأول من الألفية الحالية، ما زاد من احتمالية وجود ملفات حساسة مكشوفة للعامة على الإنترنت.
للبحث عن الثغرة، استخدم أداة feroxbuster، وهي أداة تستهدف اكتشاف الموارد العامة المتاحة على مواقع الويب، ووجه عمليات المسح إلى نطاقين تابعين لـ TeleMessage هما: secure.telemessage.com وarchive.telemessage.com.، إذ بدأ الاختراق الحقيقي عندما اكتشف رابطاً على النطاق الثاني ينتهي بـ/heapdump. عند فتح هذا الرابط، قدّم الخادم ملفاً كبيراً يُعرف باسم heap dump، وهو ملف يحتوي على لقطة من الذاكرة المؤقتة للخادم (RAM) وقت تحميل الصفحة، بحجم وصل إلى نحو 150 ميجابايت.
هذه الملفات غالباً ما تحتوي على أجسام الطلبات HTTP، التي قد تتضمن بيانات اعتماد المستخدمين، وباستخدام كلمة مفتاحية بسيطة مثل password، وجد المخترق أسماء مستخدمين وكلمات مرور بشكل نصي ضريح غير مشفر.
بيانات حساسة
وعند استخدام واحدة من هذه البيانات لتسجيل الدخول إلى لوحة الإدارة، تبيّن أنه اخترق حساباً لموظف تابع لوكالة الجمارك وحماية الحدود الأميركية، التي أكدت لاحقاً استخدامها لخدمة TeleMessage.
ولم تقتصر البيانات المكشوفة على بيانات الدخول، بل شملت أيضاً سجلات محادثات داخلية غير مشفرة بصيغة نصية، من بينها محادثات خاصة بمنصة Coinbase الشهيرة لتداول العملات الرقمية.
ورغم تأكيد Coinbase عدم وجود دليل على تعرض بيانات العملاء للخطر، فإن مجرد كشف هذه المحادثات يطرح تساؤلات كبرى بشأن البنية الأمنية للتطبيق.
تحليل الشيفرة المصدرية لتطبيق TM SGNL كشف لاحقاً أن التطبيق يرسل الرسائل بصيغة غير مشفرة إلى خادم أرشفة خاص archive.telemessage.com، رغم الترويج له بأنه يوفر تشفيراً "من طرف إلى طرف" يشمل حتى عملية الأرشفة المؤسسية.
الخادم كان مبنياً باستخدام إطار Spring Boot بلغة Java، ويضم ميزة تُعرف بـ Actuator، تُستخدم لمراقبة التطبيقات، وتتضمن نقطة الوصول /heapdump. هذه النقطة كانت مكشوفة للجميع، ما سمح بتنزيل بيانات حساسة من الخادم دون الحاجة إلى مصادقة للتوثيق.
وفقًا لشركة Wiz المتخصصة في الأمن السحابي، فإن نقطة /heapdump المصنفة ضمن أكثر نقاط الضعف شيوعاً، كانت حتى عام 2017 مفعّلة بشكل افتراضي، قبل أن يتم حصر الوصول إلى نقاط آمنة فقط مثل /health و/info. غير أن مطوري TeleMessage على ما يبدو إما استخدموا إصداراً قديماً من Spring Boot، أو قاموا يدوياًَ بفتح نقطة الوصول هذه، ما تسبب في هذا الاختراق واسع النطاق.
وكانت هذه التفاصيل قد ظهرت بعد أيام من تداول صورة لمايك والتز، مستشار الأمن القومي السابق للرئيس ترمب، وهو يستخدم TM SGNL خلال اجتماع رسمي. وبعد الحادثة، أبلغ مصدر مجهول الصحفي ميكا لي أنه تمكن من اختراق التطبيق بسهولة، ما دفع TeleMessage لاحقاً إلى تعليق خدماتها مؤقتاً وسط صمت رسمي من الشركة الأم "Smarsh".
جرب ميزات الذكاء الاصطناعي لدينا
اكتشف ما يمكن أن يفعله Daily8 AI من أجلك:
التعليقات
لا يوجد تعليقات بعد...
أخبار ذات صلة
الشرق السعودية
منذ 16 ساعات
- الشرق السعودية
كيف تمكن مخترق من الوصول لمحادثات الحكومة الأميركية على سيجنال؟
تمكّن أحد القراصنة من الوصول إلى خوادم تطبيق "TM SGNL"، النسخة المعدّلة من تطبيق "سيجنال" (Signal)، خلال أقل من 20 دقيقة، وذلك في عملية استندت إلى استغلال بسيط لثغرة صغيرة، لكنها بالغة التأثير، إذ كشف عن تركيبات برمجية قديمة وإعدادات غير مؤمنة على الإطلاق. بدأ المخترق رحلته بالوصول إلى لوحة التحكم الخاصة بالنطاق الآمن للتطبيق عبر العنوان: وفقاً لتصريحاته لموقع Wired. تشفير عتيق بمجرد الدخول، لاحظ المخترق أن النظام يعتمد على تشفير كلمات المرور باستخدام خوارزمية MD5 على واجهة المستخدم، وهي خوارزمية قديمة وضعيفة لم تعد تُستخدم في نظم التشفير الحديثة نظراً لقابليتها للاختراق. الأخطر من ذلك أن التشفير كان يتم على واجهة المستخدم فقط، ما يجعل قيمة "الهاش" الناتجة تُستخدم عملياً ككلمة مرور، وبالتالي يسهل نسخها واستخدامها للدخول مباشرة. وبعد أن تبين للمخترق ضعف أساليب الحماية، شكّ في أن بنية النظام تعتمد على تقنيات قديمة، وبالفعل وجد أن TeleMessage تستخدم JSP، وهي تقنية لإنشاء تطبيقات الويب ترجع إلى أوائل العقد الأول من الألفية الحالية، ما زاد من احتمالية وجود ملفات حساسة مكشوفة للعامة على الإنترنت. للبحث عن الثغرة، استخدم أداة feroxbuster، وهي أداة تستهدف اكتشاف الموارد العامة المتاحة على مواقع الويب، ووجه عمليات المسح إلى نطاقين تابعين لـ TeleMessage هما: و إذ بدأ الاختراق الحقيقي عندما اكتشف رابطاً على النطاق الثاني ينتهي بـ/heapdump. عند فتح هذا الرابط، قدّم الخادم ملفاً كبيراً يُعرف باسم heap dump، وهو ملف يحتوي على لقطة من الذاكرة المؤقتة للخادم (RAM) وقت تحميل الصفحة، بحجم وصل إلى نحو 150 ميجابايت. هذه الملفات غالباً ما تحتوي على أجسام الطلبات HTTP، التي قد تتضمن بيانات اعتماد المستخدمين، وباستخدام كلمة مفتاحية بسيطة مثل password، وجد المخترق أسماء مستخدمين وكلمات مرور بشكل نصي ضريح غير مشفر. بيانات حساسة وعند استخدام واحدة من هذه البيانات لتسجيل الدخول إلى لوحة الإدارة، تبيّن أنه اخترق حساباً لموظف تابع لوكالة الجمارك وحماية الحدود الأميركية، التي أكدت لاحقاً استخدامها لخدمة TeleMessage. ولم تقتصر البيانات المكشوفة على بيانات الدخول، بل شملت أيضاً سجلات محادثات داخلية غير مشفرة بصيغة نصية، من بينها محادثات خاصة بمنصة Coinbase الشهيرة لتداول العملات الرقمية. ورغم تأكيد Coinbase عدم وجود دليل على تعرض بيانات العملاء للخطر، فإن مجرد كشف هذه المحادثات يطرح تساؤلات كبرى بشأن البنية الأمنية للتطبيق. تحليل الشيفرة المصدرية لتطبيق TM SGNL كشف لاحقاً أن التطبيق يرسل الرسائل بصيغة غير مشفرة إلى خادم أرشفة خاص رغم الترويج له بأنه يوفر تشفيراً "من طرف إلى طرف" يشمل حتى عملية الأرشفة المؤسسية. الخادم كان مبنياً باستخدام إطار Spring Boot بلغة Java، ويضم ميزة تُعرف بـ Actuator، تُستخدم لمراقبة التطبيقات، وتتضمن نقطة الوصول /heapdump. هذه النقطة كانت مكشوفة للجميع، ما سمح بتنزيل بيانات حساسة من الخادم دون الحاجة إلى مصادقة للتوثيق. وفقًا لشركة Wiz المتخصصة في الأمن السحابي، فإن نقطة /heapdump المصنفة ضمن أكثر نقاط الضعف شيوعاً، كانت حتى عام 2017 مفعّلة بشكل افتراضي، قبل أن يتم حصر الوصول إلى نقاط آمنة فقط مثل /health و/info. غير أن مطوري TeleMessage على ما يبدو إما استخدموا إصداراً قديماً من Spring Boot، أو قاموا يدوياًَ بفتح نقطة الوصول هذه، ما تسبب في هذا الاختراق واسع النطاق. وكانت هذه التفاصيل قد ظهرت بعد أيام من تداول صورة لمايك والتز، مستشار الأمن القومي السابق للرئيس ترمب، وهو يستخدم TM SGNL خلال اجتماع رسمي. وبعد الحادثة، أبلغ مصدر مجهول الصحفي ميكا لي أنه تمكن من اختراق التطبيق بسهولة، ما دفع TeleMessage لاحقاً إلى تعليق خدماتها مؤقتاً وسط صمت رسمي من الشركة الأم "Smarsh".
حضرموت نت
٠١-٠٤-٢٠٢٥
- حضرموت نت
ارتفاع غير مسبوق في تحميل تطبيق 'سيجنال' بعد تسريبات خطط ضربات عسكرية أمريكية ضد الحوثيين في اليمن
المشهد اليمني – خاص شهد تطبيق 'سيجنال'، المخصص للمحادثات المشفرة، زيادة هائلة في عدد التنزيلات حول العالم، وفقاً لتقارير حديثة، وذلك بعد أن أثارت فضيحة تسريب خطط حرب أمريكية من خلال التطبيق موجة قلق بشأن الخصوصية الرقمية. هذه الخطط، التي استهدفت مواقع وأهداف عسكرية تابعة لميليشيا الحوثي في اليمن، تم تسريبها عبر اتصالات على 'سيجنال'، مما دفع المستخدمين في الولايات المتحدة واليمن إلى اللجوء بسرعة إلى التطبيق كوسيلة آمنة للاتصال. زيادة التنزيلات: مؤشر على الثقة أم القلق؟ وفقاً لتصريحات شركة 'أبفيجرس'، وهي شركة متخصصة في تتبع استخدام التطبيقات، لموقع 'سيمفور' الأمريكي، فقد شهدت التنزيلات العالمية لتطبيق 'سيجنال' ارتفاعاً ملحوظاً منذ الكشف عن التسريبات الأسبوع الماضي. وفي الولايات المتحدة، تضاعفت التنزيلات اليومية ثلاث مرات لتصل إلى أكثر من 60,000 تنزيل يومياً. أما في اليمن، حيث يُعتبر التطبيق أقل شعبية نسبياً، فقد زادت التنزيلات بمقدار خمسة أضعاف لتصل إلى أكثر من 1,000 تنزيل يومياً. هذا الارتفاع رفع تصنيف التطبيق من المرتبة 50 في قائمة تطبيقات الوسائط الاجتماعية لنظام 'أيزو' إلى المرتبة التاسعة في البلاد. يأتي هذا الارتفاع في ظل تصاعد المخاوف بشأن الخصوصية الرقمية والقدرة على حماية الاتصالات الشخصية والسرية. ومع ذلك، فإن هذه الزيادة قد تكون أيضاً مؤشراً على اعتماد متزايد على التطبيق من قبل جهات فاعلة سيئة، بما في ذلك المنظمات الإرهابية أو الجماعات المسلحة مثل الحوثيين. التوتر بين الخصوصية والأمن القومي وزارة الخارجية الأمريكية أكدت أن العديد من الجماعات الإرهابية، بما في ذلك الحوثيون، ما زالت نشطة في اليمن، وهو السياق الذي يجعل تسريب خطط الغارات الجوية الأمريكية عبر 'سيجنال' أمراً بالغ الحساسية. واستخدام منصات الدردشة المشفرة من قبل هذه الجماعات ليس بالأمر الجديد؛ فقد سبق وأن استخدمت تنظيمات إرهابية مثل 'داعش' تطبيقات مثل 'تلغرام' و'واتساب' للتخطيط لهجمات إرهابية كبيرة، مثل الهجوم الذي وقع في باريس عام 2015. واجهت شركات التكنولوجيا ضغوطاً هائلة في السنوات الأخيرة لإزالة المحتوى المتطرف وتسليم تفاصيل الحسابات المشبوهة إلى السلطات الحكومية. ومع ذلك، فإن 'سيجنال'، المعروف بتركيزه على الخصوصية وتقديم خدمات مشفرة بشكل كامل، لم يخضع بعد لهذا النوع من التدقيق العام، رغم أن النقاشات حول دوره في الأمن القومي بدأت تظهر بقوة. تداعيات داخلية وخارجية في الولايات المتحدة، أثارت هذه القضية نقاشات مستفيضة حول التوازن بين الخصوصية الرقمية والأمن القومي. وقد تعالت أصوات الديمقراطيين الذين طالبوا بمراجعة شاملة لسياسات الخصوصية الرقمية، بينما تم رفع دعوى قضائية هذا الأسبوع ضد الشركات التقنية الكبرى بشأن كيفية معالجتها لهذه المسائل. وفي اليمن، حيث تستمر الحرب الأهلية والصراعات المسلحة، يبدو أن هناك اتجاهاً متزايداً نحو استخدام التطبيقات المشفرة من قبل المدنيين والجماعات المسلحة على حد سواء. وهذا الأمر قد يعقد جهود الحكومة الأمريكية والمجتمع الدولي في تتبع تحركات الجماعات المسلحة ومكافحة الإرهاب. مستقبل التطبيقات المشفرة: هل ستكون تحت المجهر؟ مع استمرار النقاشات حول الخصوصية والأمن القومي، قد تجد التطبيقات المشفرة مثل 'سيجنال' نفسها في مركز عاصفة سياسية وقانونية. وعلى الرغم من أن التطبيق يتمتع بشعبية واسعة بين الناشطين والمدافعين عن الخصوصية الرقمية، إلا أن استخدامه من قبل الجماعات المسلحة قد يدفع الحكومات إلى الضغط من أجل فرض قيود جديدة عليه. يبقى السؤال المهم: هل يمكن تحقيق التوازن بين حماية الخصوصية الفردية وضمان الأمن القومي؟ هذا هو التحدي الذي سيواجه صانعي السياسات والشركات التقنية في المستقبل القريب، خاصة في ظل التطورات المتلاحقة التي تفرضها التكنولوجيا الحديثة.
الشرق السعودية
٢٦-٠٣-٢٠٢٥
- الشرق السعودية
ما مدى أمان تطبيق "سيجنال" الذي استخدمه مساعدو ترمب؟
استخدم كبار المسؤولين في إدارة الرئيس الأميركي دونالد ترمب تطبيق "سيجنال" لمشاركة خطط حرب، وأدرجوا عن طريق الخطأ صحفياً في الدردشة المشفرة، مما أثار دعوات من قبل مشرعين ديمقراطيين لإجراء تحقيق في الكونجرس بشأن ما وصفوه بـ"الاختراق الأمني". وبموجب القانون الأميركي، قد يشكل سوء التعامل مع المعلومات السرية أو استغلالها أو إساءة استخدامها "جريمة"، رغم أنه من غير الواضح ما إذا كان قد تم انتهاك هذه البنود في هذه الحالة. ما مدى أمان "سيجنال"؟ يعتبر تطبيق "سيجنال" هو خدمة مراسلة مفتوحة المصدر ومشفرة بالكامل تعمل على خوادم مركزية يتم صيانتها بواسطة "سيجنال ماسنجر". والبيانات الوحيدة الخاصة بالمستخدم التي يتم تخزينها على خوادم التطبيق هي أرقام الهواتف، وتاريخ بدء استخدام التطبيق ومعلومات تسجيل الدخول الأخيرة. ويتم بدلاً من ذلك تخزين جهات اتصال المستخدمين ومحادثاتهم وغيرها من الاتصالات على هاتف المستخدم، مع إمكانية إعداد خيار حذف المحادثات تلقائياً بعد فترة زمنية معينة. ولا تستخدم الشركة أي إعلانات أو مسوقين تابعين، ولا تتبع بيانات المستخدمين، كما هو مذكور على موقعها الإلكتروني. وتضيف الشركة أنها "تمنح المستخدمين أيضاً إمكانية إخفاء أرقام هواتفهم عن الآخرين، واستخدام رقم أمان إضافي للتحقق من أمان رسائلهم". ولا يستخدم تطبيق "سيجنال" تشفير الحكومة الأميركية أو أي حكومات أخرى، ولا يتم استضافته على خوادم حكومية. وقال روكي كول، الذي تساعد شركته للأمن السيبراني "آي فيريفاي"في حماية مستخدمي الهواتف الذكية من المتسللين، إن تطبيق سيجنال "يتمتع بسمعة ممتازة، ويُستخدم على نطاق واسع، ويحظى بالثقة في مجتمع الأمن". وأضاف: "خطر مناقشة معلومات الأمن القومي شديدة الحساسية على سيجنال لا يتمثل في أن سيجنال نفسه غير آمن". وقال إن الجهات التي تُشكل تهديداً للدول "أثبتت أن لديها قدرة على اختراق الهاتف المحمول بأكمله عن بُعد. إذا لم يكن الهاتف نفسه آمناً، يمكن قراءة جميع رسائل سيجنال على ذلك الجهاز". كيف يعمل تطبيق سيجنال؟ يعتبر "سيجنال" خدمة مراسلة آمنة تستخدم تشفيراً من البداية إلى النهاية، ما يعني أن مزود الخدمة لا يستطيع الوصول إلى المحادثات والمكالمات الخاصة للمستخدمين على تطبيقه وقراءتها، وبالتالي ضمان خصوصية مستخدميه. وبرنامج "سيجنال" متاح على جميع المنصات، سواء على الهواتف الذكية أو أجهزة الكمبيوتر، ويتيح المراسلة والمكالمات الصوتية والمرئية، ويتطلب التسجيل وإنشاء حساب وجود رقم هاتف. وعلى عكس تطبيقات المراسلة الأخرى، لا يتتبع تطبيق "سيجنال" بيانات المستخدم أو يخزنها، كما أن الكود الخاص به متاح للعامة، حتى يتمكن خبراء الأمن من التحقق من كيفية عمله وضمان بقائه آمناً. ودافعت مريديث ويتاكر، رئيسة شركة "سيجنال"، الثلاثاء، عن أمن التطبيق قائلة: "سيجنال هو المعيار الذهبي في الاتصالات الخاصة". من هو مؤسس "سيجنال"؟ وفقاً لموقع الشركة على الإنترنت، تأسست شركة "سيجنال" في عام 2012 على يد رجل الأعمال الأميركي موكسي مارلين سبايك. وفي فبراير 2018 أسس مارلين سبايك، بالتعاون مع برايان أكتون، المؤسس المشارك لـ"واتساب"، مؤسسة "سيجنال" غير الربحية، التي تشرف حالياً على التطبيق. وقدم أكتون تمويلاً أولياً قدره 50 مليون دولار، إذ غادر أكتون "واتساب" في عام 2017؛ بسبب خلافات حول استخدام بيانات العملاء والإعلانات الموجهة. وتقول شركة "سيجنال" على موقعها الإلكتروني إنها "ليست مرتبطة بأي شركات تقنية كبرى، ولن تستحوذ أي منها عليها". من يستخدم "سيجنال"؟ ويستخدم تطبيق "سيجنال" على نطاق واسع من قبل دعاة الخصوصية والناشطين السياسيين، وتحوّل من تطبيق مراسلة غير مألوف يستخدمه المعارضون إلى شبكة سرية للصحافيين ووسائل الإعلام، ثم إلى أداة مراسلة للوكالات والمنظمات الحكومية. وشهدت الشركة نمواً "غير مسبوق" في عام 2021 بعد تغيير مثير للجدل في شروط الخصوصية الخاصة بشركة "واتساب" المنافسة، إذ انسحب دعاة الخصوصية من واتساب؛ بسبب مخاوف من أن يضطر المستخدمون إلى مشاركة بياناتهم مع كل من "فيسبوك" و"إنستجرام". وتصنف وكالة "رويترز" تطبيق "سيجنال" كأحد الأدوات التي يمكن للمرشدين استخدامها لمشاركة إرشادات إخبارية سرية مع صحفييها، مع الإشارة إلى أنه "لا يوجد نظام آمن بنسبة 100%". ويدرج منتدى مجتمع "سيجنال"، وهو مجموعة غير رسمية تنص على أن إدارتها تتكون من موظفي الشركة، المفوضية الأوروبية أيضاً كمستخدم للتطبيق. وقال بن وود، كبير المحللين في شركة "سي.سي. إس إنسايت"، إنه "على الرغم من أن سيجنال يُنظر إليه على نطاق واسع على أنه يوفر اتصالات آمنة للغاية للمشتركين بسبب تشفيره الشامل، ولأنه يجمع القليل جداً من بيانات المستخدم، فإن من الصعب تصديق أنه مناسب لتبادل الرسائل المتعلقة بالأمن القومي"، في إشارة إلى الاختراق الذي شمل كبار مساعدي ترمب، الذين ناقشوا خططاً لشن ضربات عسكرية على الحوثيين في اليمن.
