رفع آسیب‌پذیری خطرناک iOS که بدون کلیک، امکان نصب بدافزارها را فراهم می‌کرد

اپل به‌روزرسانی امنیتی جدیدی برای سیستم‌عامل‌های iPadOS ،macOS ،iOS و watchOS منتشر کرده است که نقایص امنیتی بدون کلیکی را برطرف می‌کند که هکرها با کمک آن‌ها از طریق یک «تصویر مخرب» یا هر فایل پیوست دیگری اقدام به نصب بدافزار می‌کنند.

به گزارش ArsTechnica، این دو نقص امنیتی که با نام‌های CVE-2023-41064 و CVE-2023-41061 شناخته می‌شوند، توسط آزمایشگاه میان‌رشته‌ای Citizen Lab از دانشگاه تورنتو گزارش شده است. Citizen Lab می‌گوید که این مشکلات کاملاً جدی هستند، زیرا فقط با بارگذاری یک تصویر یا هر فایل پیوست دیگری در مرورگر سافاری، برنامه Messages، واتس‌اپ و برنامه‌های دیگر می‌توان از آن‌ها سوء‌استفاده کرد. بنابراین در بسیاری از مواقع، نصب این بدافزارها حتی بدون هیچ کلیکی انجام می‌شود.

Citizen Lab همچنین اعلام کرد این باگ که با نام BLASTPASS نیز شناخته می‌شود، «برای ارائه جاسوس‌افزار Pegasus گروه NSO» نیز به‌کار می‌رود.

راه مقابله با آسیب‌پذیری اپل

در ادامه این گزارش گفته شده است کاربرانی که نگران این نقص‌ها هستند، می‌توانند با فعال‌کردن Lockdown Mode در دستگاه‌های iOS و macOS خود، آن‌ را کم‌اثرتر کنند. استفاده از این حالت بسیاری از انواع فایل‌های پیوست‌شده را مسدود و پیش‌نمایش لینک‌ها را نیز غیرفعال می‌کند.

Citizen Lab می‌گوید:

«ما معتقد هستیم و تیم مهندسی و معماری امنیتی اپل نیز این موضوع را به ما تأیید کرده است که Lockdown Mode این حمله خاص را مسدود می‌کند.»

این به‌روزرسانی امنیتی تمام گوشی‌های مدل‌های آیفون 6s، آیفون 7، نسل اول آیفون SE، آیپد ایر 2، نسل چهارم آیپد مینی و نسل هفتم آیپد تاچ را پوشش می‌دهد. همچنین هرچند هیچ حمله‌ای برای رایانه‌های macOS گزارش نشده است، Citizen Lab توضیح می‌دهد که این نقص از نظر تئوری در این سیستم‌عامل نیز قابل بهره‌برداری است؛ بنابراین دریافت این به‌روزرسانی کاملاً توصیه می‌شود.

از ابتدای سال جاری میلادی، اپل درمجموع 13 نقص روز صفر را برطرف کرده است که دستگاه‌های دارای iOS ،macOS ،iPadOS و watchOS را هدف قرار داده‌اند.