رفع آسیب‌پذیری خطرناک iOS که بدون کلیک امکان نصب بدافزارها را فراهم می‌کرد

با استفاده از این آسیب‌پذیری، پس از آپلود تصاویر یا پیوست‌های مخرب، هکرها بدافزار را روی دستگاه شما نصب می‌کنند.

اپل به‌روزرسانی امنیتی جدیدی را برای سیستم‌عامل‌های iPadOS، macOS، iOS و watchOS منتشر کرده است که آسیب‌پذیری‌های امنیتی بدون کلیک را برطرف می‌کند که به هکرها اجازه می‌دهد بدافزار را از طریق «تصویر مخرب» یا پیوست‌های دیگر نصب کنند.

به گزارش ArsTechnica، این دو نقص امنیتی که با نام های CVE-2023-41064 و CVE-2023-41061 شناخته می شوند، توسط آزمایشگاه بین رشته ای شهروندی دانشگاه تورنتو گزارش شده اند. Citizen Lab می‌گوید که این مشکلات کاملاً جدی هستند زیرا تنها با آپلود یک تصویر یا پیوست‌های دیگر در مرورگر سافاری، برنامه پیام‌ها، واتس‌اپ و سایر برنامه‌ها قابل سوءاستفاده هستند. بنابراین در بسیاری از موارد نصب این بدافزارها بدون حتی کلیک انجام می شود.

Citizen Lab همچنین اعلام کرد که این باگ که به نام BLASTPASS نیز شناخته می‌شود، «برای تحویل نرم‌افزار جاسوسی Pegasus به گروه NSO» نیز استفاده شده است.

نحوه برخورد با آسیب پذیری اپل

این گزارش ادامه می‌دهد که کاربرانی که نگران این نقص‌ها هستند، می‌توانند با فعال کردن حالت قفل در دستگاه‌های iOS و macOS خود، کارایی آن را کاهش دهند. استفاده از این حالت، بسیاری از انواع پیوست‌ها را مسدود کرده و پیش‌نمایش پیوندها را غیرفعال می‌کند.

Citizen Lab می‌گوید:

“ما معتقدیم و تیم مهندسی و معماری امنیتی اپل به ما تایید کرده است که حالت قفل این حمله خاص را مسدود می کند.”

این به‌روزرسانی امنیتی تمام آیفون‌های ۶s، آیفون ۷، آیفون SE نسل اول، آی‌پد ایر ۲، آی‌پد مینی نسل چهارم و آی‌پد تاچ نسل هفتم را پوشش می‌دهد. علاوه بر این، در حالی که هیچ حمله ای برای رایانه های macOS گزارش نشده است، Citizen Lab توضیح می دهد که از نظر تئوری این نقص می تواند در سیستم عامل نیز مورد سوء استفاده قرار گیرد. بنابراین دریافت این به روز رسانی به شدت توصیه می شود.

از ابتدای سال جاری، اپل در مجموع ۱۳ آسیب‌پذیری روز صفر را با هدف قرار دادن دستگاه‌های iOS، macOS، iPadOS و watchOS اصلاح کرده است.