باشگاه خبرنگاران جوان؛ جواد فراهانی - شرکت اپل از وصله کردن دو آسیب‌پذیری حیاتی در iOS پس از سوءاستفاده در یک حمله سایبری "بسیار پیچیده" خبر داده است. این حمله کاربران خاصی را هدف قرار داده و یکی از جدی‌ترین مشکلات امنیت سایبری است که اخیراً آیفون‌ها با آن مواجه هستند. اپل مجبور شد دو به‌روزرسانی امنیتی فوری را برای رفع این آسیب‌پذیری‌ها که قبلاً مورد سوءاستفاده قرار گرفته بودند، منتشر کند. حملات گسترده‌تر شامل تلاش برای سرقت رمز‌های عبور کاربر بود که به مهاجمان اجازه می‌داد برنامه‌های مالی را به خطر بیندازند و وجوه را سرقت کنند.

سوءاستفاده از دو آسیب‌پذیری WebKit

هر دو آسیب‌پذیری موتور مرورگر WebKit برای iOS را که مرورگر پیش‌فرض Safari در آیفون‌ها و همچنین سایر مرورگر‌های در حال اجرا در iOS را پشتیبانی می‌کند، تحت تأثیر قرار دادند. در نتیجه، کاربران آیفون ممکن است صرفاً با بازدید از یک وب‌سایت مخرب با مشکل مواجه شوند. این می‌تواند برای شروع یک حمله کافی باشد. این دو آسیب‌پذیری، CVE-۲۰۲۵-۴۳۵۲۹ و CVE-۲۰۲۵-۱۴۱۷۴، در یک حمله واحد در دنیای واقعی مورد سوءاستفاده قرار گرفتند.

مورد اول به مهاجمان اجازه می‌داد تا به دلیل نقص مدیریت حافظه در WebKit، کد دلخواه را از راه دور روی دستگاه اجرا کنند. مورد دوم به طور مشترک توسط تیم تجزیه و تحلیل تهدید اپل و گوگل کشف شد. این آسیب‌پذیری‌ها با بهبود مدیریت حافظه و تقویت فرآیند‌های تأیید برطرف شدند. هم اپل و هم گوگل مراقب بودند که اطلاعات فاش شده به مطبوعات را محدود کنند تا از دسترسی مهاجمان به هرگونه جزئیات فنی پیشرفته جلوگیری شود.

این می‌تواند برای شروع حمله کافی باشد. اپل این آسیب‌پذیری‌ها را در تمام سیستم عامل‌های خود، از جمله iOS ۲۶.۲، iPadOS ۲۶.۲، iOS ۱۸.۷.۳، iPadOS ۱۸.۷.۳، macOS Tahoe ۲۶.۲، tvOS ۲۶.۲، watchOS ۲۶.۲، visionOS ۲۶.۲ و Safari ۲۶.۲، وصله کرده است. اپل از همه مرورگر‌های iOS می‌خواهد که از WebKit استفاده کنند، به این معنی که برنامه مرورگر کروم در آیفون تحت تأثیر این آسیب‌پذیری‌ها قرار گرفته است.

چگونه می‌توانید از قربانی شدن در برابر آسیب‌پذیری‌های WebKit جلوگیری کنید؟

در اینجا چند گام برای محافظت از خود در برابر حملات روز صفر آورده شده است:

- به محض انتشار، به‌روزرسانی‌ها را نصب کنید. این بسیار مهم است، زیرا حملات روز صفر لحظات بی‌توجهی، بی‌ثباتی و آسیب‌پذیری را هدف قرار می‌دهند. مهمتر از همه، این حملات به شدت به استفاده کاربران از نرم‌افزار‌های قدیمی متکی هستند.

- به‌روزرسانی‌های خودکار را فعال کنید. به‌روزرسانی‌های خودکار را برای همه دستگاه‌های اپل خود فعال کنید. به این ترتیب، اگر انتشار به‌روزرسانی را از دست بدهید، به‌طور خودکار نصب می‌شود.

- هنگام کلیک روی لینک‌ها احتیاط کنید. از آنجایی که آسیب‌پذیری‌های WebKit معمولاً نیاز به بازدید از یک وب‌سایت مخرب دارند، روی هیچ لینک تصادفی که از طریق پیام متنی دریافت می‌کنید کلیک نکنید، مگر اینکه از پیامی باشند که انتظارش را داشتید.

- همچنین می‌توانید با نصب نرم‌افزار آنتی‌ویروس که شما را از کلاهبرداری‌های باج‌افزاری و ایمیل‌های فیشینگ مطلع می‌کند، از خود محافظت کنید.

- اگر احساس می‌کنید که توسط یک آسیب‌پذیری ناشناخته تهدید می‌شوید، از حالت قفل اپل استفاده کنید. به تنظیمات > حریم خصوصی و امنیت > حالت قفل بروید، سپس روی حالت قفل ضربه بزنید.

منبع: الیوم السابع