- شناسه CVE-2025-10290 :CVE
- CWE-451 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 16, 2025
- به روز شده: سپتامبر 16, 2025
- امتیاز: 6.5
- نوع حمله: Spoofing
- اثر گذاری: Unknown
- حوزه: مرورگرها
- برند: Mozilla
- محصول: Focus for iOS
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری در Focus for iOS نسخههای پیش از 143.0 مربوط به باز کردن لینکها از طریق منوی زمینهای (Contextual Menu) برای طرحهای URL خاص (URL schemes) است. در این حالت، لینکها به درستی بارگذاری نشده و Toolbar مرورگر نیز بهروزرسانی نمیشود. در نتیجه، مهاجم میتواند با وادار کردن کاربر به باز کردن لینک با Long‑Press (فشار طولانی روی لینک)، صفحهای جعلی نمایش داده و کاربر را فریب دهد (Website Spoofing).
توضیحات
آسیبپذیری CVE-2025-10290 در مرورگر Focus for iOS (مرورگر موبایل حریمخصوصیمحور مبتنی بر موتور GeckoView) رخ میدهد و مطابق با CWE-451 (نمایش نادرست اطلاعات حیاتی در رابط کاربری که منجر به فریب کاربر میشود) طبقهبندی میشود.
این ضعف امنیتی در فرآیند باز کردن لینکها از طریق منوی زمینهای (contextual menu)برای طرحهای URL خاص وجود دارد؛ در این حالت، صفحه به درستی بارگذاری نشده و رابط کاربری نوار ابزار (toolbar UI) بهروزرسانی نمیشود. این شرایط به مهاجم اجازه میدهد وبسایتهای جعلی (Website Spoofing) ایجاد کرده و کاربران را فریب دهد. به زبان ساده وقتی کاربر یه لینک رو با نگهداشتن انگشت (Long Press) باز میکرد، نوار بالای مرورگر بهروزرسانی نشده و هنوز آدرس قبلی رو نشون می داد. درنتیجه کاربر فکر میکرد هنوز توی سایت امن است، ولی در واقع وارد یه سایت جعلی یا فیشینگ شده بود.
این آسیبپذیری از راه دور، بدون نیاز به احراز هویت، با پیچیدگی پایین و نیازمند تعامل کاربر مانند Long‑Press روی لینک مخرب قابل بهرهبرداری است. پیامد آن تأثیر بالا بر یکپارچگی با فریب کاربر و امکان هدایت به صفحات فیشینگ است.
شرکت موزیلا این آسیب پذیری را در نسخه 143.0 پچ کرده است؛ اصلاحات شامل به روزرسانی رابط کاربری بوده تا Toolbar پس از بارگذاری ناقص یا ناتمام صفحه بهدرستی نمایش داده شود.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected before 143.0 | Focus for iOS |
لیست محصولات بروز شده
| Versions | Product |
| 143.0 | Focus for iOS |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Focus iOS را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 9 | site:.ir “Focus iOS” | Focus iOS |
نتیجه گیری
این آسیبپذیری با شدت متوسط در Focus for iOS به دلیل عدم بهروزرسانی صحیح رابط کاربری toolbar ، امکان جعل وبسایت (website spoofing) از طریق فریب کاربر را فراهم میکند. با توجه به انتشار پچ رسمی، اجرای فوری اقدامات زیر برای جلوگیری از آسیبپذیری و کاهش ریسک ضروری است:
- بهروزرسانی فوری: اپلیکیشن Focus for iOS را از طریق App Store به نسخه 143.0 یا بالاتر به روزرسانی کرده و تنظیمات بهروزرسانی خودکار را فعال کنید.
- آموزش کاربران: کاربران را در مورد ریسکهای long-press روی لینکهای مشکوک آگاه کرده و توصیه کنید از باز کردن لینکهای ناشناخته از منوی زمینهای خودداری کنند. همچنین، از ویژگیهای آنتی فیشینگ داخلی مرورگر بهره ببرید.
- فعالسازی ویژگیهای امنیتی: حالت حریم خصوصی (Private Browsing) را همیشه فعال نگه دارید و از افزونههای anti-spoofing یا تنظیمات امنیتی GeckoView برای اعتبارسنجی URL schemes استفاده کنید.
- نظارت بر عملکرد کاربر: در محیطهای سازمانی، لاگهای اپلیکیشن را برای الگوهای مشکوک مانند بارگذاری ناقص یا ناتمام URL بررسی کنید و از ابزارهای MDM (Mobile Device Management) برای اعمال سیاستهای مرورگر امن استفاده نمایید.
- ایزولهسازی و محدودسازی: دسترسی به URL schemes حساس را محدود کنید و از پروکسیهای وب یا VPN برای فیلتر کردن ترافیک اپلیکیشن بهره ببرید تا درخواستهای مخرب مسدود شوند.
- اسکن منظم: دستگاههای iOS را با ابزارهای اسکن آسیبپذیری مانند Mobile Security Framework (MobSF) بررسی کنید و تستهای کاربری (با مجوز) برای شبیهسازی سناریوهای long-press انجام دهید.
اجرای این اقدامات، ریسک جعل وبسایت (spoofing) را به حداقل رسانده و سطح امنیت Focus for iOS را به طور قابل توجهی افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
ورود اولیه از طریق مهندسی اجتماعی یا یک حمله وبمحور drive-by است؛ مهاجم کاربر را به بازدید یا long-press روی یک لینک خاص ترغیب میکند تا منوی زمینهای فعال شده و صفحه crafted باز شود. این بردار بر فریب کاربر مبتنی است و نیازی به بهرهبرداری از نقصهای سطح شبکه یا احراز هویت ندارد.
Defense Evasion (TA0005)
با توجه به ماهیت UI spoofing، مهاجم میتواند از نمایش عادی رابط کاربری بهرهگیرد تا رخداد را در لاگها یا ابزارهای تحلیل ترافیک و مانیتورینگ بهسادگی پنهان نگه دارد؛ حمله در عین فریبکارانهبودن ظاهری مشروع دارد و تشخیص خودکار از طریق telemetry ساده دشوار است.
Credential Access (TA0006)
پیامد مستقیم و محتمل این ضعف، استخراج یا سرقت اعتبارنامهها از طریق فیشینگ است؛ هنگامی که نوار ابزار آدرس اشتباه نمایش داده شود، کاربر ممکن است اطلاعات ورود یا توکنها را در صفحه جعلی وارد کند که مهاجم قادر به ضبط و استفاده از آنها خواهد بود.
Impact (TA0040)
پیامدها عمدتاً متوجه محرمانگی و یکپارچگی هستند: افشای اعتبارنامهها و نشستها (Confidentiality) و فریبخوردگی کاربران که منجر به تغییر یا سرقت دادهها (Integrity) میشود؛ در سناریوهای ترکیبی و پس از استفاده از اعتبارنامههای سرقتشده، امکان تأثیر بر در دسترسپذیری سرویسها یا گسترش نفوذ به سامانههای حیاتی نیز وجود دارد— اما این اثرات سنگین معمولاً نیازمند زنجیرهسازی با بردارهای تکمیلی فراتر از خودِ UI spoofing هستند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-10290
- https://www.cvedetails.com/cve/CVE-2025-10290/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-76/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10290
- https://vuldb.com/?id.324455
- https://nvd.nist.gov/vuln/detail/CVE-2025-10290
- https://cwe.mitre.org/data/definitions/451.html
