به گفته محققان امنیتی Citizen Lab، سیستم عامل های iOS ، macOS و watchOS دارای باگ بودند و این مشکل مورد سوء استفاده قرار گرفته و سازمان های دولتی اقدام به نصب نرم افزارهای جاسوسی در تلفن روزنامه نگاران، وکلا و فعالان کرده اند. با این حال اپل مجموعه ای از به روزرسانی های جدید برای رفع اشکال این سیستم عامل ها را منتشر کرد. محققان می گویند این اشکال امکان نصب "بدون کلیک" نرم افزار جاسوسی Pegasus را فراهم می کند، که گفته می شود می تواند داده ها و گذرواژه ها را سرقت کند و میکروفون یا دوربین تلفن را فعال کند. با این وجود برای عدم سوء استفاده از مشکل، بهتر است در اسرع وقت سیستم عامل های خود را به iOS 14.8 ، macOS Big Sur 11.6 و watchOS 7.6.2 به روز کنید.
به گفته Citizen Lab، آن ها هنگام تجزیه و تحلیل پشتیبان گیری از تلفن هک شده یک شخص، فایل هایی را کشف کردند. به نظر می رسید که فایل ها GIF هایی هستند که به ضمیمه SMS ارسال می شوند، اما در واقع با فرمت PSD و PDF هستند. یادداشت های به روز رسانی اپل می گویند که این مشکل هنگام پردازش یک فایل PDF مخرب ایجاد شده است. با این Citizen Lab به این قضیه مشکوک شد و این احتمال را داد که می توانند با Pegasus مرتبط باشد، بنابراین پرونده ها را در 7 سپتامبر به اپل ارسال کرد. اپل به سرعت بروزرسانی های نرم افزاری را در 13 سپتامبر منتشر کرد و در بیانیه ای از Citizen Lab برای کشف این سوء استفاده تشکر کرد.
به طور کلی، به روزرسانی های جدید اپل بیشتر بر روی امنیت دستگاه متمرکز است. با این وجود مشکل امنیتی با WebKit را برای iOS و macOS Big Sur برطرف می کند. در حالی که این مسئله توسط یک محقق ناشناس دیگر کشف شده است و ما هنوز نمی دانیم که آیا مربوط به سوء استفاده های NSO است یا خیر. با این حال اپل هنوز می گوید "ممکن است مورد سوء استفاده امنیتی گسترده ای قرار گرفته باشد".
با وجود چنین مساله فوری امنیتی، به این مسئل خواهیم رسید که چرا یک روز قبل از رویداد اپل، یک بروزرسانی جدید برای iOS منتشر شد، در حالی که انتظار داشتیم تلفن های جدیدی معرفی شود که احتمالاً هرگز این نسخه سیستم عامل را اجرا نمی کنند. با این وجود، شایعاتی در مورد انتشار iOS 14.8 از اوایل ماه آگوست وجود دارد، اما با توجه به اینکه به نظر می رسد نسخه روز دوشنبه تنها به مسائل امنیتی کشف شده در ماه سپتامبر می پردازد، احتمالاً یک نسخه iOS 14 دیگر منتشر شود.
به نظر می رسد که اخیراً ارائه PDF CoreGraphics در زمینه امنیت مشکل ساز بوده است. همچنین گفتنی است که iOS 14.7 شامل رفع مشکل جداگانه سیستم است که می تواند منجر به اجرای خودسرانه کد نیز شود. WebKit نیز اخیراً چند به روزرسانی برای رفع مشکلات امنیتی داشته است که اپل می گوید "ممکن است به طور فعال مورد سوء استفاده قرار گرفته باشد." هنگامی که اخبار مربوط به بهره برداری CoreGraphics در ماه اوت منتشر شد، اپل به TechCrunch گفت که در حال کار بر روی بهبود امنیت iOS 15 است. در واقع همه این مشکلات به شما یادآوری می کند که همیشه سیستم خود را به روز نگه دارید. در حالی که امیدواریم هرگز با استفاده از نرم افزارهای جاسوسی پیشرفته در بدترین حالت دولت قرار نگیرید، اما هنوز هم ایده خوبی است که مطمئن شوید دستگاه شما در برابر سوء استفاده های امنیتی گسترده ای آسیب پذیر نیست. خوشبختانه، اپل در حال برنامه ریزی برای نصب به روزرسانی های امنیتی در iOS 14 بدون نیاز به ارتقاء به iOS 15 است، که می تواند برای هر آینده مفید باشد.
منبع: theverge
