واتس‌اپ آسیب‌پذیری حمله بدون کلیک علیه دستگاه‌های اپل را رفع کرد

by

واتس‌اپ در اقدامی مهم برای محافظت از کاربران خود، یک آسیب‌پذیری امنیتی حیاتی را که در یک کمپین جاسوس‌افزاری برای هدف قرار دادن کاربران آیفون و مک مورد سوءاستفاده قرار می‌گرفت، برطرف کرده است. این نقص به مهاجمان اجازه می‌داد تا بدون هیچ‌گونه تعاملی از سوی قربانی، دستگاه‌های اپل را به خطر بیندازند؛ تکنیکی که به عنوان اکسپلویت «بدون کلیک» (zero-click) شناخته می‌شود.

این پلتفرم پیام‌رسان متعلق به متا، روز جمعه با انتشار یک بیانیه امنیتی، وصله شدن این آسیب‌پذیری را که به طور رسمی با شناسه CVE-2025-55177 ردیابی می‌شود، تأیید کرد. این باگ به صورت زنجیره‌ای با یک نقص دیگر در سیستم‌عامل‌های اپل (iOS و macOS) با شناسه CVE-2025-43300 که اپل هفته گذشته آن را برطرف کرده بود، استفاده می‌شد. اپل این وضعیت را «حمله‌ای فوق‌العاده پیچیده علیه افراد خاص و هدفمند» توصیف کرده بود.

اکنون مشخص شده است که این زنجیره اکسپلویت هماهنگ علیه ده‌ها کاربر واتس‌اپ به کار گرفته شده است. دونچا او کرویل، رئیس آزمایشگاه امنیتی عفو بین‌الملل، این عملیات را یک «کمپین جاسوس‌افزاری پیشرفته» توصیف کرد که طی ۹۰ روز گذشته، یعنی از اواخر ماه مه، فعال بوده است. او بر ماهیت خطرناک حمله «بدون کلیک» تأکید کرد که به یک دستگاه اجازه می‌دهد تنها با دریافت یک پیام یا بسته داده مخرب، بدون نیاز به کلیک کاربر روی لینک یا باز کردن فایل، هک شود.

ترکیب این دو آسیب‌پذیری به مهاجم اجازه می‌داد تا یک بار مخرب (payload) را از طریق واتس‌اپ ارسال کند. پس از ارسال، این اکسپلویت می‌توانست کل دستگاه را به خطر انداخته و به مهاجم امکان دسترسی به داده‌های حساس، از جمله پیام‌های خصوصی را بدهد. بر اساس اعلان تهدیدی که واتس‌اپ برای کاربران آسیب‌دیده ارسال کرده، این حمله قادر به «به خطر انداختن دستگاه شما و داده‌های موجود در آن» بوده است.

در حالی که هویت شرکت فروشنده جاسوس‌افزار پشت این کمپین فاش نشده است، این حادثه تهدید مداوم شرکت‌های نظارتی تجاری را برجسته می‌کند. مارگاریتا فرانکلین، سخنگوی متا، تأیید کرد که این شرکت چند هفته پیش این نقص را شناسایی و وصله کرده و متعاقباً برای کمتر از ۲۰۰ کاربر آسیب‌دیده اعلان ارسال کرده است. با این حال، این شرکت در پاسخ به سؤالات، اطلاعاتی در مورد ارتباط دادن این حملات به یک گروه یا فروشنده خاص ارائه نکرد.

این یک حادثه جداگانه برای این اپلیکیشن پیام‌رسان محبوب نیست. واتس‌اپ قبلاً نیز هدف جاسوس‌افزارهای دولتی قرار گرفته که از آسیب‌پذیری‌های روز-صفر (zero-day) — نقص‌هایی که برای توسعه‌دهنده نرم‌افزار ناشناخته هستند — استفاده می‌کنند. در یک مورد قابل توجه در سال ۲۰۱۹، شرکت سازنده جاسوس‌افزار NSO Group از یک اکسپلویت برای نصب جاسوس‌افزار پگاسوس خود بر روی دستگاه‌های بیش از ۱۴۰۰ کاربر استفاده کرد. این امر منجر به یک دعوای حقوقی شد که در آن دادگاهی در آمریکا، گروه NSO را به پرداخت ۱۶۷ میلیون دلار خسارت به واتس‌اپ محکوم کرد. اخیراً نیز در اوایل سال جاری، واتس‌اپ کمپین جاسوس‌افزاری دیگری را که حدود ۹۰ روزنامه‌نگار و عضو جامعه مدنی در ایتالیا را هدف قرار داده بود و شامل جاسوس‌افزار شرکت پاراگون بود، مختل کرد.

این رویداد اخیر به عنوان یک یادآوری حیاتی برای همه کاربران عمل می‌کند تا برنامه‌ها و سیستم‌عامل‌های خود را برای محافظت در برابر چنین تهدیدات پیچیده‌ای به‌روز نگه دارند.

منبع: تک‌کرانچ

Leave a Comment