إذا كنت تمتلك أيًا من أجهزة Apple، فقد حان الوقت لتحديث البرنامج بسرعة. اكتشف الباحثون في مختبر Citizen Lab ثغرة اليوم صفر تسمح هذه الثغرة للمتسللين بتثبيت البرامج الضارة على iPhone دون أي تفاعل من الضحية. وقد تم استخدام هذه الثغرة بالفعل لتوزيع برنامج التجسس Pegasus التابع لمجموعة NSO. ولمعالجة هذه الثغرة الأمنية، تعمل Apple على دفع تحديثات الأمان إلى iPhone وMac وiPad وApple Watch.
تستغل “سلسلة الاستغلال” هذه على وجه الخصوص ميزة Apple واجهة برمجة تطبيقات PassKitوعلى هذا النحو، يشير مختبر Citizen Lab إلى هذه الثغرة باسم “BLASTPASS”، على الرغم من أنها مسجلة تحت CVE-2023-41064 وCVE-2023-41061. وفي حين أن التفاصيل القذرة لثغرة BLASTPASS غير معروفة، يؤكد مختبر Citizen Lab أنها ثغرة أمنية لا تحتاج إلى نقرة واحدة — حيث يتم إرسال صور ضارة إلى الضحية عبر iMessage، وبدون أي تفاعل، تقوم الصور بتثبيت البرامج الضارة على هاتف iPhone الخاص بالضحية.
اكتشف مختبر Citizen Lab برنامج BLASTPASS أثناء التحقيق في أصل برنامج التجسس Pegasus على جهاز أحد العاملين في “منظمة مجتمع مدني مقرها واشنطن العاصمة”. وكما تعلمون، فإن Pegasus هو برنامج تجسس مرتزق طورته مجموعة NSO التي تتخذ من إسرائيل مقراً لها وتم بيعه لمنظمات حكومية. ويوصف بأنه أداة لمكافحة الإرهاب أو الحرب، على الرغم من أنه يستخدم بانتظام لاستهداف المعارضين، والصحفيين والناشطين والسياسيين وغيرهم من الأشخاص المهتمين. وقد انتقدت شركة أبل مرارًا وتكرارًا (وحتى رفع دعوى قضائية) NSO Group لبيع برامج التجسس هذه، وقد أنشأت وضع تأمين لحماية الضحايا المحتملين من Pegasus على iPhone وMac وiPad وApple Watch. (في محادثة مع Citizen Lab، تدعي Apple أن BLASTPASS لا يمكنه تجاوز وضع التأمين.)
لا ينبغي للأشخاص العاديين أن يقلقوا كثيرًا بشأن برنامج التجسس Pegasus – فقد تم استخدامه فقط لاستهداف “أعداء” حكومات معينة. وللعلم، فإن وضع القفل يجعل أجهزتك عديمة الفائدة تقريبًا ولا ينبغي استخدامه إلا في ظروف قصوى. لكن ثغرة BLASTPASS مثيرة للقلق، حيث يمكن أن يستخدمها قراصنة صغار لتوزيع أي شكل من أشكال البرامج الضارة. سيؤدي تحديث أجهزة Apple الخاصة بك إلى تصحيح BLASTPASS وحمايتك من هذه الثغرة التي لا تتطلب النقر.
في وقت كتابة هذا التقرير، يتوفر هذا التصحيح فقط على إصدارات البرامج الثابتة الحالية من Apple (iOS 16 وmacOS 13 وما إلى ذلك). إصدارات التحديث هي كما يلي – iOS 16.6.1 وmacOS 13.5.2 وiPadOS 16.6.1 وwatchOS 9.6.2 – إذا لم تطلب منك أجهزة Apple الخاصة بك التحديث، فيجب عليك تشغيل التحديث اليدوي عن طريق الدخول إلى الإعدادات والنقر فوق “عام” وتحديد “تحديث البرنامج”.
مصدر: مختبر المواطن عبر آرس تكنيكا