أصدرت شركة الأمن السحابي Wiz تحذيرًا من المخاطر المتزايدة المرتبطة بتطبيقات OAuth الخبيثة، مشيرة إلى أن ما يُعرف بـ “تعب الموافقات” (Consent Fatigue) قد يُستغل من قبل المهاجمين. الفكرة بسيطة وخطيرة: عندما يواجه المستخدمون طلبات متكررة لمنح الأذونات، يصبحون أكثر عرضة لقبولها دون تدقيق، مما يمنح التطبيقات الخبيثة صلاحيات واسعة للوصول إلى بيانات حساسة داخل بيئة المؤسسة.
آلية الاستغلال عبر التطبيقات المزورة
بمجرد أن يضغط المستخدم على زر “قبول”، يكتمل تسجيل الدخول، لكن بدلاً من الانتقال إلى صفحة هبوط طبيعية، يتم إرسال رمز الوصول (Access Token) إلى عنوان إعادة التوجيه الخاص بالمهاجم. هذا الرمز يمنح المهاجم وصولًا مباشرًا إلى ملفات أو رسائل البريد الإلكتروني الخاصة بالمستخدم، دون الحاجة إلى كلمة المرور.
التطبيقات الخبيثة غالبًا ما تحمل أسماء تبدو شرعية أو مشابهة لعلامات تجارية معروفة، مما يزيد من احتمالية خداع المستخدمين وإضافتها إلى بيئة المؤسسة بشكل طبيعي.
حملة واسعة النطاق في 2025
كشفت Wiz أن حملة كبيرة كانت نشطة في أوائل عام 2025 تضمنت 19 تطبيق OAuth خبيثًا انتحلت هوية علامات تجارية شهيرة مثل Adobe وDocuSign وOneDrive. هذه التطبيقات استهدفت عدة مؤسسات، وقد وثقت شركة Proofpoint تفاصيل النشاط في أغسطس 2025.
الحملة أبرزت كيف يمكن للمهاجمين استغلال الثقة في العلامات التجارية المعروفة لتجاوز دفاعات المؤسسات والوصول إلى بيانات حساسة.
الدروس المستفادة للمؤسسات
التحذير يسلط الضوء على ضرورة تعزيز الوعي الأمني لدى الموظفين، وتطبيق سياسات صارمة لمراجعة طلبات الأذونات، وعدم الاكتفاء بالاعتماد على أسماء التطبيقات أو واجهاتها. كما يجب على المؤسسات مراقبة نشاط التطبيقات المضافة إلى بيئة العمل بشكل دوري، وتطبيق حلول أمنية قادرة على كشف التطبيقات المشبوهة قبل أن تتمكن من استغلال صلاحياتها.
