أصدرت شركة آبل تحديثًا أمنيًا مهمًا لهواتف آيفون iPhone لمعالجة ثغرة خطيرة في نظام التشغيل iOS 16، والذي يسمح للمهاجمين بتثبيت برامج التجسس عن بُعد دون أي تدخل من مالك الهاتف.
واكتشفت مجموعة Citizen Lab لأبحاث برامج التجسس هذه الثغرة الأسبوع الماضي وأخطرت شركة آبل بها على الفور.
وقالت المجموعة إن الهاكرز استغلوا هذه الثغرة لتثبيت برنامج التجسس Pegasus التابع لمجموعة NGO Group على جهاز آيفون مملوك لموظف في إحدى منظمات المجتمع المدني في واشنطن.
وبحسب المجموعة فإن الثغرة تسمح باختراق أجهزة iPhone التي تعمل بأحدث إصدار من iOS (16.6) دون الحاجة إلى أي نقرة من قبل المستخدم.
إن Pegasus هو برنامج تجسس تم تطويره بواسطة جهة خاص لتستخدمه الوكالات الحكومية، حيث يقوم بالتجسس وإرسال البيانات بما في ذلك الصور والرسائل وتسجيلات الصوت / الفيديو.
وأصدرت Apple الآن التحديث رقم iOS 16.6.1 بعد أيام فقط من اكتشاف هذا الاستغلال، ومن الضروري لمالكي آيفون iPhone تثبيت هذا التحديث فوراً، حتى لو لم يكن من المحتمل أن يتم استهدافهم ببرامج تجسس.
لا يزال هناك الكثير من المجموعات الراغبة في إجراء هندسة عكسية للتحديثات الأمنية لنظام التشغيل iOS لمحاولة اكتشاف كيفية استغلال هذه الثغرة الأمنية الجديدة، مما يزيد من خطر وقوع هجمات أوسع نطاقًا.
ولم تقدم Citizen Lab تحليلاً كاملاً للثغرة الأمنية التي أطلقت عليها اسم BLASTPASS، لأنها تتضمن PassKit، وهو إطار عمل يسمح للمطورين بتضمين خدمة الدفع Apple Pay في تطبيقاتهم.
كما أكّدت أن وضع Lockdown Mode من Apple يحمي المستخدمين من هذا الاستغلال الأخير.
تصدرت الثغرات الأمنية في نظام التشغيل iOS عناوين الأخبار بانتظام في السنوات الأخيرة، خاصة تلك التي تم استغلالها بشكل نشط قبل أن تدرك شركة Apple وجود الخلل الأمني.
وطورت شركة Apple نظام الاستجابة الأمنية السريعة الذي يمكنه إضافة إصلاحات أمنية إلى iPhone دون الحاجة إلى إعادة تشغيل الجهاز.