استخدمت الحكومة الصينية ثغرة أمنية حائزة على جوائز ضمن أجهزة آيفون للتجسس على مسلمي الإيغور، مما أعطى بكين سيطرة كاملة على هواتفهم.
بدأت القصة في عام 2017، عندما اتهم الرئيس التنفيذي لشركة تكنولوجيا صينية كبيرة المشاركين من الصين في مسابقات القرصنة العالمية بعدم الولاء.
وانتقد المؤسس والرئيس التنفيذي الملياردير لشركة الأمن السيبراني الصينية العملاقة Qihoo 360، والتي تعد إحدى أهم شركات التكنولوجيا في الصين، علناً المواطنين الصينيين الذين ذهبوا إلى الخارج للمشاركة في مسابقات القرصنة.
وقال إن الأداء الجيد في مثل هذه الأحداث يمثل مجرد نجاح خيالي، وحذر من أنه بمجرد أن يعرض المتسللون الصينيون نقاط الضعف في المسابقات الخارجية، فإنه لن يعود من الممكن استخدامها.
وأوضح أنه يجب بدلاً من ذلك على المتسللين البقاء في الصين حتى يتمكنوا من التعرف على الأهمية الحقيقية والقيمة الاستراتيجية لنقاط الضعف في البرامج.
وظهرت مسابقة Tianfu Cup للمرة الأولى في شهر تشرين الثاني 2018، أي بعد بضعة أشهر من حظر الدولة لفرق أبحاث الأمن السيبراني من التنافس في مسابقة القرصنة Pwn2Own أو في أي مسابقات قرصنة عالمية.
وذهبت الجائزة الكبرى البالغة 200 ألف دولار إلى الباحث الأمني الصيني تشيتشون جاو Qixun Zhao العامل مع شركة Qihoo 360، الذي عرض ثغرة سمحت له بالتحكم بسهولة وموثوقية حتى في أحدث أجهزة آيفون.
وسمحت الثغرة المعقدة للمهاجم عن بُعد بكسر حماية جهاز iPhone X العامل بنظام التشغيل iOS 12.1 بسهولة والتحكم فيه من خلال زيارة صفحة ويب تحتوي على تعليمات برمجية خبيثة.
وأطلق الباحث على الثغرة إسم الفوضى (Chaos)، وعرض مقطع فيديو لإثبات المفهوم يُظهِر أن الإستغلال الناجح يسمح للمهاجم عن بُعد بكسر حماية جهاز iPhoneX، مما يسمح له بالوصول إلى بيانات الضحية.
ووفقاً لتقرير نشرته مجلة MIT Technology Review، فإن المخابرات الصينية إستخدمت الثغرة كسلاح قبل أن تتمكن شركة آبل من حل المشكلة.
وقالت المجلة “جمعت الولايات المتحدة تفاصيل حول كيفية استخدام استغلال آيفون المسمى Chaos لاختراق مسلمي الإيغور في الصين”.
وكانت التقارير الواردة في شهر آب 2019 قد تحدثت عن أن المواقع الضارة المُستخدمة لإختراق أجهزة آيفون على مدار عامين كانت تستهدف الإيغور.
واكتشف باحثو الأمن في شركة جوجل مواقع الويب الضارة دون أن يعرفوا في البداية من تستهدف، لكنهم اكتشفوا لاحقاً مدى تشابه استغلال المواقع الخبيثة مع Chaos.
وقالت المجلة “توصلت الولايات المتحدة إلى النتيجة نفسها، وأبلغت شركة آبل، التي كانت تتعقب الهجوم، وتوصلت من تلقاء نفسها إلى نتيجة تؤكد أن استغلال Chaos والهجمات ضد الإيغور قادمة من مصدر واحد”.
ومع إعطاء الأولوية للإصلاح، فقد أصدرت شركة آبل تحديثاً لتصحيح الخلل في شهر كانون الثاني 2019، ووصل التصحيح بعد شهرين من الكشف عن Chaos في مسابقة القرصنة الصينية Tianfu Cup.
ومن الجدير بالذكر أن القانون الصيني يتطلب من المواطنين والمنظمات التعاون مع وكالات الاستخبارات عندما يُطلب منهم ذلك.
ونفى تشيتشون جاو Qixun Zhao بشكل قاطع التورط في التجسس على الإيغور عبر هواتف آيفون، واقترح أن الثغرة المستخدمة ضد الإيغور ربما تم إستخدامها بعد إصدار التصحيح، لكن آبل وثقت كيفية استخدامها قبل إصلاح شهر كانون الثاني 2019.