استخدمت الحكومة الصينية ثغرة أمنية حائزة على جوائز ضمن أجهزة آيفون للتجسس على مسلمي الأويغور، مما أعطى بكين سيطرة كاملة على هواتفهم.

وبدأت القصة في عام 2017، عندما اتهم الرئيس التنفيذي لشركة تكنولوجيا صينية كبيرة المشاركين من الصين في مسابقات القرصنة العالمية بعدم الولاء.

وانتقد المؤسس والرئيس التنفيذي الملياردير لشركة الأمن السيبراني الصينية العملاقة Qihoo 360 – إحدى أهم شركات التكنولوجيا في الصين – علنًا المواطنين الصينيين الذين ذهبوا إلى الخارج للمشاركة في مسابقات القرصنة.

وقال: إن الأداء الجيد في مثل هذه الأحداث يمثل مجرد نجاح خيالي، وحذر من أنه بمجرد أن يعرض المتسللون الصينيون نقاط الضعف في المسابقات الخارجية، فإنه لن يعود من الممكن استخدامها.

وأوضح أنه يجب بدلًا من ذلك على المتسللين البقاء في الصين حتى يتمكنوا من التعرف على الأهمية الحقيقية والقيمة الاستراتيجية لنقاط الضعف في البرامج.

وظهرت مسابقة Tianfu Cup للمرة الأولى في شهر نوفمبر 2018، أي بعد بضعة أشهر من حظر الدولة لفرق أبحاث الأمن السيبراني من التنافس في مسابقة القرصنة Pwn2Own أو في أي مسابقات قرصنة عالمية.

وذهبت الجائزة الكبرى البالغة 200000 دولار إلى الباحث الأمني الصيني تشيتشون جاو Qixun Zhao العامل مع شركة Qihoo 360، الذي عرض استغلالًا سمح له بالتحكم بسهولة وموثوقية حتى في أحدث أجهزة آيفون.

وسمحت الثغرة المعقدة للمهاجم عن بُعد بكسر حماية جهاز iPhone X العامل بنظام التشغيل iOS 12.1 بسهولة والتحكم فيه من خلال زيارة صفحة ويب تحتوي على تعليمات برمجية خبيثة.

وأطلق الباحث على الثغرة اسم Chaos، وعرض مقطع فيديو لإثبات المفهوم يُظهِر أن الاستغلال الناجح يسمح للمهاجم عن بُعد بكسر حماية جهاز iPhoneX، مما يسمح للمتطفل بالوصول إلى بيانات الضحية.

ووفقًا لتقرير نشرته مجلة إم آي تي تكنولوجي ريفيو MIT Technology Review، فإن المخابرات الصينية استخدمت الثغرة كسلاح قبل أن تتمكن شركة آبل من حل المشكلة.

وقالت المجلة: جمعت الولايات المتحدة تفاصيل حول كيفية استخدام استغلال آيفون المسمى Chaos لاختراق مسلمي الأويغور في الصين.

وكانت التقارير الواردة في شهر أغسطس 2019 قد تحدثت عن أن المواقع الضارة المُستخدمة لاختراق أجهزة آيفون على مدار عامين كانت تستهدف الأويغور.

واكتشف باحثو الأمن في شركة جوجل مواقع الويب الضارة دون أن يعرفوا في البداية من تستهدف، لكنهم اكتشفوا لاحقًا مدى تشابه استغلال المواقع الخبيثة مع Chaos.

وقالت المجلة: توصلت الولايات المتحدة إلى النتيجة نفسها، وأبلغت شركة آبل، التي كانت تتعقب الهجوم، وتوصلت من تلقاء نفسها إلى نتيجة تؤكد أن استغلال Chaos والهجمات ضد الأويغور قادمة من مصدر واحد.

ومع إعطاء الأولوية للإصلاح، فقد أصدرت شركة آبل تحديثًا لتصحيح الخلل في شهر يناير 2019، ووصل التصحيح بعد شهرين من الكشف عن Chaos في مسابقة القرصنة الصينية Tianfu Cup.

ونفى تشيتشون جاو Qixun Zhao بشكل قاطع التورط في التجسس على الأويغور عبر هواتف آيفون، واقترح أن الثغرة المستخدمة ضد الأويغور ربما تم استخدامها بعد إصدار التصحيح، لكن آبل وثقت كيفية استخدامها قبل إصلاح شهر يناير 2019.

يذكر أن القانون الصيني يتطلب من المواطنين والمنظمات التعاون مع وكالات الاستخبارات عندما يُطلب منهم ذلك.