شناسایی حملات Zero-Click با استفاده از آسیب‌پذیری iMessage؛ افراد خاص هدف گرفته شدند!

شرکت امنیت موبایل iVerify گزارش داده است که خرابی‌های غیرعادی در آیفون‌های متعلق به افراد مهم در اتحادیه اروپا و ایالات متحده ممکن است به حملات  Zero-Click پیچیده‌ای مرتبط باشد که از آسیب‌پذیری iMessage سوءاستفاده می‌کنند.

جزئیات فنی آسیب‌پذیری iMessage

 فعالیت‌های مشکوک، که در اواخر سال ۲۰۲۴ و اوایل ۲۰۲۵ مشاهده شده و آخرین موارد آن به مارس ۲۰۲۵ بازمی‌گردد، ظاهرا شش دستگاه متعلق به افرادی مرتبط با کمپین‌های سیاسی، دولت‌ها، سازمان‌های رسانه‌ای و شرکت‌های فناوری در اتحادیه اروپا و ایالات متحده را هدف قرار داده است. iVerify در چهار دستگاه، نشانه‌هایی مرتبط با آسیب‌پذیری که اکسپلویت شده، موسوم به Nickname، یافت و دو دستگاه دیگر نشانه‌های روشنی از اکسپلویت نشان دادند. تمامی قربانیان پیش‌تر توسط هکرهای تحت حمایت دولت چین هدف قرار گرفته بودند.

بر اساس گزارش فنی iVerify، حداقل یکی از قربانیان حدود یک ماه پس از خرابی‌ها، از اپل  اعلان تهدید دریافت کرد. آسیب‌پذیری مورد اکسپلویت در فرآیند imagent، که ترافیک iMessage از جمله داده‌های مرتبط با به‌روزرسانی‌های Nickname (ویژگی‌ای برای به‌اشتراک‌گذاری اطلاعات تماس شخصی‌سازی‌شده) را مدیریت می‌کند، قرار دارد.

این فرآیند از یک کانتینر داده(data container) تغییرپذیر هنگام پخش به‌روزرسانی‌ها به سایر بخش‌های سیستم استفاده می‌کند. این کانتینر می‌تواند همزمان با دسترسی سایر فرآیندها تغییر کند و شرایط رقابتی ایجاد نماید که به آسیب‌پذیری خرابی حافظه از نوع use-after-free منجر می‌شود. iVerify تأکید کرده است که نگران‌کننده‌ترین جنبه این نقص، امکان فعال‌سازی آن بدون تعامل کاربر از طریق ارسال «به‌روزرسانی‌های مکرر و سریع Nickname به iMessage» است.

این نقص در دستگاه‌های مجهز به نسخه‌های iOS تا 18.1.1 مشاهده شده و در به‌روزرسانی iOS 18.3.1 اوایل سال جاری برطرف شده است.

شواهد اکسپلویت آسیب‌پذیری

تحقیقات iVerify نشان داد که خرابی‌های مرتبط با به‌روزرسانی‌های Nickname تنها در دستگاه‌های افرادی مشاهده شده که احتمالا توسط تهدیدگران پیچیده هدف قرار گرفته‌اند. این شرکت معتقد است که این نقص ممکن است بخشی از یک زنجیره اکسپلویت بزرگ‌تر باشد که به نفوذ دستگاه منجر شده است.

در آیفون‌هایی که احتمالا از آسیب‌پذیری Nickname سوءاستفاده شده، iVerify مشاهده کرد که دایرکتوری‌های مرتبط با پیوست‌های پیامک و متادیتای پیام‌ها ۲۰ ثانیه پس از خرابی فرآیند imagent تغییر کرده و خالی شده‌اند. این الگوی فعالیت پاک‌سازی معمولا با حملات جاسوس‌افزار تأییدشده مرتبط است.

iVerify اظهار داشته است که اگرچه شواهد قطعی برای اثبات اکسپلویت وجود ندارد، مجموعه شواهد موجود اطمینان متوسطی ایجاد می‌کند که این خرابی‌ها نشان‌دهنده تلاش‌های هدفمند برای اکسپلویت هستند. شواهد غیرمستقیم این حملات احتمالی را به هکرهای چینی مرتبط می‌سازد.

واکنش شرکت اپل

اپل در پاسخ به پرس‌وجو در خصوص این موضوع اعلام کرد که هیچ شواهدی از حملات هدفمند علیه کاربران آیفون نیافته است. ایوان کرستیچ، رئیس مهندسی و معماری امنیت اپل، اظهار داشت که اطلاعات ارائه‌شده توسط iVerify به‌دقت تحلیل شده و ادعای حمله هدفمند رد می‌شود. بر اساس داده‌های میدانی دستگاه‌ها، این گزارش به یک اشکال نرم‌افزاری معمولی اشاره دارد که در iOS 18.3 شناسایی و رفع شده است. اپل افزود که iVerify شواهد فنی معناداری برای حمایت از ادعاهایشان ارائه نکرده و در حال حاضر نشانه معتبری از تلاش برای اکسپلویت یا حمله فعال وجود ندارد.

منابع: