أصدرت شركة أبل تحديثاً عاجلاً لإصلاح "ثغرة أمنية خطيرة"، تتيح لبرنامج "بيجاسوس" الإسرائيلي اختراق هواتف أيفون وأجهزة أيباد وماك وساعات أبل واتش، من دون الحاجة إلى تفاعل المستخدم.
وأعلنت الشركة في بيان، أنها توصي المستخدمين بتنزيل آخر تحديث لأنظمة تشغيل أجهزتها، لمعالجة ثغرات أمنية، وتوجهت بالشكر إلى مختبر Citizen Lab بجامعة تورونتو الكندية على مساعدتهم في اكتشاف هذه الثغرة، من دون الإشارة إلى مصدر الاختراق، ولكن قالت إنها ستكشف مزيداً من التفاصيل بعد انتهاء التحقيقات.
وكشفت أبل عن هذه التحديثات الجديدة، وهي إصدار 16.6.1 iOS لهواتف آيفون وiPadOS 16.6.1 لأجهزة آيباد، و macOS Ventura 13.5.2 لأجهزة كمبيوتر ماك، وwatchOS 9.6.2 لساعات أبل واتش.
وأشار مختبر Citizen Lab إلى أن هذه الثغرة اكتشفت الأسبوع الماضي، أثناء فحص جهاز آيفون لأحد العاملين في منظمة مجتمع مدني مقرها واشنطن ولها مكاتب دولية، مشيراً إلى أن الأمر يتعلق ببرنامج "بيجاسوس" للتجسس، والذي تصدره شركة NSO الإسرائيلية.
والثغرة، التي اكتشفها Citizen Lab، تعرف باسم BLASTPASS، وتسمح للمهاجمين بالتلاعب بأجهزة آيفون التي تعمل بالإصدار الأخير من نظام IOS رقم 16.6، بمجرد إرسال صورة أو ملف مشبوه إلى جهاز الضحية دون حاجة لأي تفاعل من المستخدم.
وسبق لأبل رفع دعوى قضائية ضد شركة NSO في نوفمبر 2021، بسبب اختراق هواتف أيفون، وقالت في بيان إنها تهدف لمنع هذه الشركة الإسرائيلية من استهداف الخدمات والأجهزة التي تنتجها.
استغلال ثغرات أنظمة التشغيل
ويُعد بيجاسوس أحد أخطر البرمجيات الإلكترونية الخبيثة، والتي يتم استخدامها لاختراق الهواتف الذكية، واستخلاص جميع البيانات الموجودة على متنها، إلى جانب إمكانية استغلال المخترقين له ليتمكنوا من تشغيل الكاميرا والميكروفون الخاص بهواتف الضحايا للتجسس عليهم من دون علمهم.
ويستغل هذا البرنامج الثغرات الأمنية في أنظمة التشغيل وتطبيقات الهواتف المحمولة، ويتم تحديث البرنامج بشكل دوري للبحث عن ثغرات جديدة ومتاحة للاستغلال.
ولم يظهر برنامج بيجاسوس إلى العلن بين ليلة وضحاها، ولكن القصة بدأت منذ 2016، عندما قام فريق بحثي من Citizen Lab، بإجراء عملية تتبع ورصد لانتشار البرمجية الخبيثة على مستوى مشهد الاختراقات الإلكترونية وعمليات التجسس.
واستغرقت العملية البحثية عامين، وأكد المختبر الكندي أنه في الوقت الذي كانت الخوادم التي تعمل على إدارة بيجاسوس عن بُعد في 2016 يبلغ عددها 200 خادم إلكتروني، تضاعف هذا الرقم في 2018 ليصل إلى 600 خادم إلكتروني، أي وقعت زيادة بمعدل 3 أضعاف، بحسب تقرير موقع Threatpost.