أعلنت شركة أبل عن إصدار تحديثات أمان لسد ثغرة يوم صفري في إطار ImageIO أثّرت على أنظمة iOS وiPadOS وكذلك macOS، وقد رُصد استغلالها في العالم بشكل فعلي.
التحديثات تشمل: iOS 18.6.2 وiPadOS 18.6.2، إضافة إلى macOS Sequoia 15.6.1 وSonoma 14.7.8 وVentura 13.7.8. وبحسب أبل، فإن معالجة صورة ضارة يمكن أن تؤدي إلى فساد في الذاكرة، ما يتيح تنفيذ أكواد بشكل مخفي، كما أن هناك تقارير عن استخدام هذه الثغرة في هجوم عالي التطور يستهدف أشخاصاً محددين.
تنتمي الثغرة إلى ImageIO، المكوِّن الذي يحلل صيغ الصور الشائعة، وهو ما يجعل تسليمها عبر قنوات يومية مثل تطبيقات الرسائل ومحتوى الويب سهلاً نسبياً من وجهة نظر المهاجم. وتفيد التقارير بأن الرصد الأمني يربط العيب بالرقم التعريفي CVE-2025-43300، وهو ناجم عن كتابة خارج الحدود في الذاكرة، وهو ما عالجته أبل من خلال تعزيز فحص وتقيّد حدود التعامل مع البيانات.
الخطر على محافظ العملات المشفرة
البعد المتعلق بالعملات المشفرة واضح ومباشر. فمالكو المحافظ غالباً ما يقومون بنسخ ولصق عناوين المستلمين، كما يَخزِّنون عبارات الاسترداد في لقطات شاشة أو في مكتبة الصور لأغراض سهولة الوصول. أبحاث العام الجاري وثّقت عائلات من برامج التجسس المحمولة وبرامج السرقة التي تفحص المعارض باستخدام التعرف البصري على الحروف OCR وتُسَرِّب الصور التي تحتوي على عبارات الاسترداد، إضافة إلى أساليب ترصد الحافظة (clipboard) لاستبدال العناوين أثناء المعاملات.
وفقاً لشركة كاسبرسكي، استخدمت أدوات SparkCat وسلفها SparkKitty OCR لجمع عبارات الاسترداد من الصور على أنظمة iOS وAndroid، بما في ذلك عينات وُجدت في متاجر التطبيقات الرسمية.
إذا تمكن المهاجم من استغلال صورة مُحملة كخُدعة، فقد تكون هذه الصورة بمثابة القدم الأولى للوصول إلى معرض الصور لاستخراج عبارات الاسترداد، ورصد نشاط تطبيقات المحافظ، وكذلك اختطاف الحافظة أثناء عمليات التحويل على سلسلة الكتل. كما يوضح تاريخ الهجمات المشروحة من قبل باحثين بأن أساليب اختطاف العناوين عبر الحافظة ليست جديدة، بل استخدمت منذ فترة طويلة في عمليات-draining.
السياق والتحليل الأمني
يرتبط الحدث بنمط من سلاسل استغلال iOS عالية القيمة تستهدف مستخدمين محددين. ففي 2023 وثّقت Citizen Lab سلسلة استغلال بلا نقرة تُعرف بـ Blastpass لاستخدامها في توزيع برمجيات تجسس تجارية، موضحة كيف يمكن ربط خطأ معالجة الصور ونقاط التحليل الرسائلي لت takeover الجهاز دون تفاعل من المستخدم. هذا السياق الزمني مع اعتراف أبل بأن هناك حالات استغلال حقيقية يعزز من مخاطر المستخدمين الذين يعتمدون على الهواتف كجهة توقيع رئيسية لعملياتهم الرقمية.
من هم المتأثرون وكيف التحقق من الحماية
يشمل التأثير الهواتف من طُرَز iPhone XS وما بعدها، بالإضافة إلى أجهزة iPad التي تعمل بنظام iPadOS 18، كما تشمل أجهزة ماك المستندة إلى Sequoia وSonoma وVentura. للتحقق من الحماية وتأكيد التحديث:
- على iPhone أو iPad: ادخل إلى الإعدادات وتحقق من وجود الإصدار 18.6.2.
- على Mac: تحقق من macOS Sequoia 15.6.1، أو Sonoma 14.7.8، أو Ventura 13.7.8.
- بعد التثبيت، أعد تشغيل الجهاز لضمان تطبيق الإصلاح بشكل كامل.
حثت جهات أمنية متعددة المستخدمين على التحديث الفوري عقب إصدار أبل والتأكيد على وجود التحديثات في الأجهزة المعنية.
الإجراءات العملية للأمان قبل وخلال وبعد الاستخدام
بالنسبة لجمهور المحافظ الرقمية المتحمس للأمان، الدرس الأول هو تقليل التعرض عبر التحديث والاعتماد على مبدأ الحد من أثر أي اختراق محتمل. يمكن تطبيق النقاط التالية:
- تحديث النظام إلى 18.6.2 أو أحدث ثم إعادة تشغيل الجهاز فوراً.
- نقل تخزين عبارات الاسترداد خارج مكتبة الصور (gallery)، وعدم الاعتماد على لقطات الشاشة كخزن رئيسي للعبارات.
- مراجعة أذونات الصور في التطبيقات والحد من وصول التطبيقات إلى المعرض.
- تقييد الوصول إلى الحافظة وتحديده فقط عند الضرورة القصوى.
- التعامل مع المحافظ المحمولة كمجال عالي الحساسية واتباع ممارسات صحية صارمة لتعزيز النظافة الرقمية.
ما الذي تعلنه Apple رسميّاً؟
أشارت أبل إلى أن السبب الجذري للثغرة كان كتابة خارج الحدود في ImageIO، وهو ما عالجته من خلال إجراءات فحص أقوى للحدود أثناء معالجة الصور. كما أكّدت الشركة وجود تقارير تفيد باستغلال الثغرة في الواقع، مع الالتزام بإصدار التصحيح.
الخلاصة
تُبرز هذه الحادثة أهمية حماية العتاد الرقمي عند استخدام الأجهزة المحمولة كقنوات توقيع رئيسية للعملات المشفرة. التحديث الفوري، إلى جانب اتباع إجراءات الأمان الموصى بها، يحد بشكل فعّال من فرص استغلال الصورة الضارة وازدهار هجمات استخراج عبارات الاسترداد أو اختراق الحافظة أثناء المعاملات.
