چنانچه از خبرهای اخیر در دنیای جاسوسافزارها مطلع باشید؛ در اینصورت احتمالا تاکنون نام جاسوسافزار پگاسوس (Pegasus) را شنیدهاید. شرکت تسلیحات سایبری NSO Group که در اسرائیل مستقر شده است؛ این نرمافزار را توسعه میدهد و قادر به خواندن پیامهای متنی هدف، شنود تماسها، ردیابی موقعیت و سایر اقدامات دیگر است. این نرمافزار پس از آن خبرساز شد که برای جاسوسی از روزنامهنگاران، فعالان و سایر افراد مورد علاقه بهکار گرفته شد.
ظاهرا سیستمعامل موبایلی iOS 16.6 اپل دارای حفره آسیبپذیری زیرو دی (Zero-day) و زیرو کلیک (Zero-click) است. این موضوع بدان معناست که برای بهرهبرداری از حفره فوق نیازی به تعامل با کاربر نیست. این حفره امنیتی از سوی کاشف آن یعنی Citizen Lab تحت عنوان Blastpass نامگذاری شده است.
بهنظر میرسد که این حفره شامل PassKit و کیت توسعهدهنده نرمافزاری اپل موسوم به Apple SDK بوده و به توسعهدهندگان امکان میدهد تا به منظور بهرهبرداری از روزنه آسیبپذیری، Apple Pay را در برنامههای خود و برخی تصاویر مخرب ارسال شده از طریق iMessage ادغام نمایند. Citizen Lab با استفاده از حفره مذکور، نرمافزار Pegasus را با موفقیت روی دستگاه مورد نظر نصب کرد و بلافاصله آنرا به اپل گزارش داد.
اکنون که این حفره امنیتی در بهروزرسانی iOS 16.6.1 اصلاح شده است؛ به کلیه کاربران توصیه میشود تا در اسرع وقت این آپدیت را دریافت کنند. ظاهرا این حفره آسیبپذیری به شکل بسیار شدید و گسترده مورد سوء استفاده قرار گرفته است؛ چرا که Citizen Lab حتی به آندسته از کاربران که نگران حفظ حریم خصوصی خود هستند توصیه کرده که حالت Lockdown iOS را فعال کنند. این ویژگی جدید iOS، عملکرد دستگاههای اپلی را به شدت محدود میکند.
از سوی دیگر دولت چین اخیرا استفاده مقامات دولتی خود از آیفون را ممنوع اعلام کرده است. اگرچه وجود ارتباط میان این تصمیم و حفره آسیبپذیری مورد اشاره امری بعید بهنظر میرسد؛ اما بیتردید اپل در حال گذر از یک حفره امنیتی سخت در آیفونهای خود است.
