یک آسیب‌پذیری خطرناک iOS که اجازه می‌داد بدافزار بدون کلیک نصب شود، برطرف شد

با این آسیب‌پذیری، پس از بارگذاری تصاویر یا فایل‌های پیوست مخرب، بدافزار هکرها روی دستگاه شما نصب خواهند شد.

اپل به‌روزرسانی امنیتی جدیدی برای سیستم‌عامل‌های iPadOS ،macOS ،iOS و watchOS منتشر کرده است که نقایص امنیتی بدون کلیکی را برطرف می‌کند که هکرها با کمک آن‌ها از طریق یک «تصویر مخرب» یا هر فایل پیوست دیگری اقدام به نصب بدافزار می‌کنند.

به گزارش ArsTechnica این دو نقص امنیتی که با نام‌های CVE-2023-41064 و CVE-2023-41061 شناخته می‌شوند، توسط آزمایشگاه میان‌رشته‌ای Citizen Lab از دانشگاه تورنتو گزارش شده است. Citizen Lab می‌گوید که این مشکلات کاملاً جدی هستند زیرا فقط با بارگذاری یک تصویر یا هر فایل پیوست دیگری در مرورگر سفاری، برنامه Messages، واتس‌اپ و برنامه‌های دیگر می‌توان از آن‌ها سوء استفاده کرد. بنابراین در بسیاری از مواقع، نصب این بدافزارها حتی بدون هیچ کلیکی انجام می‌شود.

Citizen Lab همچنین اعلام کرد این باگ که با نام BLASTPASS نیز شناخته می‌شود، «برای ارائه جاسوس‌افزار Pegasus گروه NSO» نیز مورد استفاده قرار می‌گیرد.

راه مقابله با آسیب‌پذیری اپل

در ادامه این گزارش گفته شده کاربرانی که نگران این نقص‌ها هستند، می‌توانند با فعال‌کردن Lockdown Mode در دستگاه‌های iOS و macOS خود، آن‌ را کم اثرتر کنند. استفاده از این حالت، بسیاری از انواع فایل‌های پیوست شده را مسدود و پیش‌نمایش لینک‌ها را نیز غیرفعال می‌کند.

Citizen Lab می‌گوید:

«ما معتقد هستیم و تیم مهندسی و معماری امنیتی اپل نیز این موضوع را به ما تأیید کرده است که Lockdown Mode این حمله خاص را مسدود می‌کند.»

این به‌روزرسانی امنیتی تمام گوشی‌های مدل‌های آیفون 6s، آیفون 7، نسل اول آیفون SE، آیپد ایر 2، نسل چهارم آیپد مینی و نسل هفتم آیپد تاچ را پوشش می‌دهد. همچنین هرچند هیچ حمله‌ای برای رایانه‌های macOS گزارش نشده است، Citizen Lab توضیح می‌دهد که این نقص از نظر تئوری در این سیستم عامل نیز قابل بهره‌برداری است. بنابراین دریافت این به‌روزرسانی کاملاً توصیه می‌شود.

اپل از ابتدای سال جاری میلادی، در مجموع 13 نقص روز صفر را برطرف کرده است که دستگاه‌های دارای iOS ،macOS ،iPadOS و watchOS را هدف قرار داده‌اند.