دقّ خبراء أمن سيبراني ناقوس الخطر بشأن نقاط ضعف خطيرة تم اكتشافها في الآلية الحديثة «المفاتيح السرية المتزامنة» (Synced Passkeys)، وهي تكنولوجيا يُفترض أن تحل محل كلمات المرور بفضل أمانها المرتفع وقدرتها على التزامن عبر الأجهزة.
وكشفت أبحاث أجرتها مؤسسات مثل «بروفبوينت» (Proofpoint) و«سكوير إكس» (SquareX) في أكتوبر 2025 عن طرق تمكّن المهاجمين من تجاوز هذه الحماية القوية من دون الحاجة أبداً لكسر التشفير المعقد للمفتاح، ما يقلل من الثقة المطلقة في هذا النظام.
وتكمن المشكلة الرئيسية في أن آليات الأمان لاتزال عرضة للتهديدات التي تستغل بيئة المتصفح نفسه، وإحدى الطرق المكتشفة هي «هجمات الوسيط» (AiTM)، حيث يستخدم الهاكرز خدمات تصيّد متقدمة لإجبار النظام على «خفض مستوى المصادقة» (Authentication Downgrade).
ويحدث ذلك عندما يتظاهر المتصفح بأنه غير مدعوم، فيقوم النظام بإلغاء تفعيل «المفتاح السري» ويوجه المستخدم إلى استخدام وسائل مصادقة أضعف بكثير، مثل رموز لمرة واحدة أو رسائل SMS، والتي يمكن اعتراضها بسهولة عبر تقنيات الهندسة الاجتماعية المتطورة.
وعلاوة على ذلك، توصل الباحثون إلى أن المهاجم يمكنه اختراق المفاتيح السرية عبر بيئة المتصفح المخترقة، وذلك عن طريق ملحقات متصفح خبيثة أو ثغرات «البرمجة العابرة للمواقع» (XSS).
فبدلاً من كسر التشفير المعقد للمفتاح، يقوم الهاكرز بـ«اعتراض» أو «حقن» العملية على جانب العميل (المتصفح)، ما يسمح لهم بإجبار المستخدم على تسجيل مفتاح سري جديد، أو إتمام مصادقة سرية من دون علم المستخدم، ما يتسبب في سرقة الهوية والبيانات المالية الحساسة.
وتزيد المخاطر بشكل كبير عندما يتم ربط مفاتيح سرية شخصية (مثل تلك المخزنة في iCloud) بالأجهزة التابعة للشركة، ما يوسع نطاق الهجوم خارج الحدود الأمنية المؤسسية والبيئة المحمية للشركة.
وشدد الخبراء على ضرورة تطبيق إجراءات مثل ربط الجلسات بسياق الجهاز الموثوق به وفرض مصادقة مستمرة لضمان أن هذه المفاتيح لن تُستغل أبداً في هجمات سرقة الهوية، ما يستدعي إعادة تقييم لبروتوكولات الأمان الحالية.
المصدر: الراي