تهدیدی جدی برای کاربران آیفون

گروه امنیتی iVerify یک آسیب‌پذیری روز صفر خطرناک در iMessage اپل با نام NICKNAME کشف کرده است که به مهاجمان اجازه می‌دهد بدون نیاز به تعامل کاربر (zero-click)، بدافزار روی آیفون‌های به‌روز نصب کنند. این نقص، که از اواخر سال ۲۰۲۴ در حملات واقعی علیه افراد برجسته مانند سیاستمداران، روزنامه‌نگاران و مدیران صنعت هوش مصنوعی در آمریکا و اروپا استفاده شده، توسط اپل در به‌روزرسانی iOS 18.1.1 رفع شده است. کاربران باید فوراً دستگاه‌های خود را به‌روزرسانی کنند تا از حملات جاسوسی پیشرفته در امان بمانند.

جزئیات آسیب‌پذیری NICKNAME چیست؟

• نوع تهدید: آسیب‌پذیری بدون تعامل (Zero-Click)

• موقعیت: اپلیکیشن iMessage در iOS

• شناسه: نامشخص (به دلیل حساسیت، اپل شناسه CVE عمومی منتشر نکرده است)

• شدت خطر: بحرانی (امکان اجرای کد از راه دور بدون تعامل کاربر)

• تأثیر: نصب بدافزار جاسوسی، سرقت داده‌های حساس (پیام‌ها، تصاویر، موقعیت مکانی)، دسترسی به میکروفون و دوربین

• هدف‌ها: افراد برجسته (سیاستمداران، روزنامه‌نگاران، مدیران فناوری) در آمریکا و اروپا

• روش بهره‌برداری: ارسال پیام iMessage با پیوست مخرب که به‌صورت خودکار کد را اجرا می‌کند

این آسیب‌پذیری از ضعف‌های ناشناخته در پردازش پیوست‌های iMessage بهره می‌برد و به مهاجمان امکان می‌دهد بدافزار جاسوسی پیشرفته‌ای مانند Pegasus را نصب کنند. پس از نصب، بدافزار به سرورهای فرمان و کنترل (C2) متصل شده و داده‌های حساس را استخراج می‌کند، در حالی که پیام و پیوست مخرب به‌سرعت از دستگاه حذف می‌شوند تا ردی باقی نماند.

چگونه NICKNAME عمل می‌کند؟

1. ورود اولیه: مهاجم یک پیام iMessage با پیوست مخرب (مانند تصویر یا فایل PDF) ارسال می‌کند که بدون نیاز به باز کردن توسط کاربر پردازش می‌شود.

2. اجرای کد: نقص در iMessage امکان اجرای کد دلخواه را فراهم می‌کند، که می‌تواند به فرار از سندباکس iOS منجر شود.

3. نصب بدافزار: بدافزار با امتیازات ریشه (root privileges) نصب شده و ابزارهایی برای جاسوسی، ضبط صدا، تصویربرداری و سرقت داده‌ها فعال می‌کند.

4. پاک‌سازی ردپا: پیام مخرب و پیوست آن به‌صورت خودکار حذف می‌شوند تا هیچ اثری از حمله باقی نماند.
   این حملات، که بخشی از کمپین‌های جاسوسی پیشرفته (APT) هستند، از سال ۲۰۱۹ با نام‌هایی مانند Operation Triangulation ردیابی شده‌اند و همچنان در سال ۲۰۲۵ فعال هستند.

وضعیت بهره‌برداری

تا ۵ ژوئن ۲۰۲۵، شواهد بهره‌برداری فعال از NICKNAME علیه اهداف با ارزش بالا گزارش شده است. پست‌های منتشرشده در X توسط حساب‌هایی مانند @HackRead و @the_yellow_fall نشان‌دهنده نگرانی عمومی و هدف‌گیری افراد برجسته در آمریکا و اروپا هستند. اپل با انتشار iOS 18.1.1 در ۴ ژوئن ۲۰۲۵ این آسیب‌پذیری را برطرف کرده، اما کاربرانی که هنوز به‌روزرسانی نکرده‌اند در معرض خطر هستند. iVerify همچنین ابزار اسکنی برای شناسایی نشانه‌های نفوذ ارائه کرده است.

اقدامات لازم برای محافظت

برای محافظت در برابر این آسیب‌پذیری:

1. به‌روزرسانی فوری iOS: دستگاه خود را به iOS 18.1.1 یا بالاتر ارتقا دهید (به مسیر Settings > General > Software Update بروید).

2. فعال‌سازی Lockdown Mode: کاربران در معرض خطر بالا (مانند روزنامه‌نگاران یا فعالان) باید حالت Lockdown Mode را فعال کنند، که این نوع حملات را مسدود می‌کند.

3. اجتناب از پیوست‌های مشکوک: اگرچه این حمله نیازی به تعامل ندارد، از باز کردن پیام‌های ناشناخته خودداری کنید.

4. استفاده از ابزارهای اسکن: از ابزارهایی مانند iVerify’s Triangle Check برای بررسی نشانه‌های نفوذ استفاده کنید.

5. نظارت بر دستگاه: سازمان‌ها باید با ابزارهای SIEM ترافیک شبکه و رفتار دستگاه را بررسی کنند.

6. استفاده از پیام‌رسان‌های جایگزین: برای کاهش ریسک، از برنامه‌های پیام‌رسان رمزنگاری‌شده مانند Signal یا WhatsApp استفاده کنید.

چرا این تهدید مهم است؟

iMessage به دلیل نصب پیش‌فرض روی تمام دستگاه‌های اپل، هدف محبوبی برای حملات روز صفر است. آسیب‌پذیری NICKNAME، مشابه حملات قبلی مانند FORCEDENTRY و BLASTPASS، نشان‌دهنده پیچیدگی فزاینده جاسوس‌افزارهای تجاری مانند Pegasus است. این حملات، که اغلب توسط گروه‌هایی مانند NSO Group پشتیبانی می‌شوند، افراد برجسته را هدف قرار می‌دهند و می‌توانند به نقض حریم خصوصی، سرقت داده‌های حساس یا جاسوسی دولتی منجر شوند. واکنش سریع اپل در رفع این نقص حیاتی است، اما تأخیر در به‌روزرسانی می‌تواند کاربران را در معرض خطر قرار دهد.