.webp)
7 دقیقه
اپل برای رفع یک آسیبپذیری بدون کلیک مبتنیبر تصویر که کیفپولهای رمزنگاری را در معرض خطر قرار میدهد، عجله میکند
اپل بهسرعت یک بهروزرسانی امنیتی اضطراری منتشر کرده تا یک آسیبپذیری بدون کلیک را ببندد که میتواند به مهاجمان اجازه دهد آیفونها، آیپدها و مکها را بهخطر بیندازند — تهدیدی که کارشناسان امنیتی میگویند میتواند منجر به زیانهای فوری و جبرانناپذیر برای دارندگان ارزهای دیجیتال شود. با شناسه CVE-2025-43300، این نقص در چارچوب Image I/O اپل یافت شده است که پردازش تصویر در دستگاههای اپل را بر عهده دارد.
این اکسپلویت چه کاری انجام میدهد و چرا کاربران رمزنگاری باید نگران باشند
بر اساس اطلاعیه اپل، یک فایل تصویر با ساختار ویژه میتواند باعث فساد حافظه در مؤلفه Image I/O شود و اجرای کد از راه دور را بدون هیچگونه تعامل کاربر ممکن کند. یعنی صرفاً دریافت یک تصویر — از طریق iMessage، Mail، یا یک برنامه دیگر — میتواند برای اجرای کد دلخواه روی دستگاه آسیبپذیر کافی باشد.
برای هر کسی که کلیدهای خصوصی، اطلاعات ورود کیفپول یا حسابهای صرافی را روی تلفن یا تبلت خود ذخیره میکند، چنین وضعیتی بهویژه خطرناک است. برخلاف انتقالهای بانکی سنتی، تراکنشهای رمزنگاری برگشتناپذیر هستند: اگر مهاجمان یک کیفپول را خالی کنند یا به حساب صرافی دسترسی پیدا کنند، بازیابی وجوه اغلب غیرممکن است.
بهروزرسانیها و دستگاههای تحت تأثیر
اپل وصلههای فوری را بهصورت iOS 18.6.2 و iPadOS 18.6.2 منتشر کرد و همچنین بهروزرسانیهایی برای macOS Sequoia 15.6.1، Sonoma 14.7.8 و Ventura 13.7.8 عرضه نمود. شرکت گفت این اصلاح شامل آیفونهایی از نسل iPhone XS تا سری iPhone 16، آیپدهای پشتیبانیشده از جمله iPad Pro، iPad Air (نسل ۳ و بعد از آن)، iPad (نسل ۶ و بعد از آن) و iPad mini (نسل ۵ و بعد از آن) و همچنین مکهایی که سه نسخه اخیر macOS را اجرا میکنند، میشود.
اپل کاربران را به نصب دستی وصله تشویق کرد تا بهجای انتظار برای بهروزرسانی خودکار، از احتمال بهرهبرداری جلوگیری شود.
اقدامات فوری کاهش خطر برای کاربران رمزنگاری
متخصصان امنیتی توصیه میکنند هر کسی در اکوسیستم رمزنگاری فوراً اقدامات احتیاطی زیر را انجام دهد:
- بهروزرسانیهای امنیتی اپل را بهصورت دستی روی همه آیفونها، آیپدها و مکهایی که در اختیار دارید نصب کنید.
- کلیدهای خصوصی و عبارات بازیابی را از دستگاههایی که ممکن است بهخطر افتاده باشند خارج کنید. در نظر بگیرید که کیفپولها را به کیفپول سختافزاری (ذخیرهسازی سرد) مانند یک Ledger یا دستگاههای معتبر دیگر مهاجرت دهید.
- مجوزهای برنامهها را بازنشانی کرده و خدمات حیاتی مانند ایمیل، فضای ابری و حسابهای صرافی را مجدداً تأیید هویت کنید. گذرواژهها را بازنشانی کنید و از رمزهای عبور قوی و یکتا بههمراه احراز هویت چندعاملی (MFA) استفاده نمایید.
- اگر بهنظرتان دستگاه بهخطر افتاده است، رفتارهای غیرعادی سیستم را مستندسازی کنید، اما آگاه باشید که تفسیر لاگهای دستگاه برای غیرمتخصصان دشوار است.
این اقدامات خطر استفاده مهاجمان از یک دستگاه بهخطر افتاده برای دسترسی به اپهای کیفپول، اطلاعات ورود به صرافیهای حضانتی، یا پشتیبانهای همگامسازیشده ابری که ممکن است کلیدهای خصوصی را افشا کنند، کاهش میدهد.
.avif)
بافت: رشد پیچیدگی حملات به کاربران رمزنگاری
اپل اشاره کرده که گزارشهایی دریافت کرده که نشان میدهد این آسیبپذیری ممکن است در حملات هدفمند و بسیار پیچیده استفاده شده باشد. در حالی که شرکت تعداد افراد هدفگرفته شده را اعلام نکرد، تحلیلگران امنیتی هشدار میدهند که وقتی یک آسیبپذیری عمومی میشود، بهرهبرداری گستردهتر معمولاً دنبال میشود.
فوریت این وصله بازتاب کمپینهای اخیر هدفگذاری شده علیه دارندگان رمزنگاری است. در سال ۲۰۲۴، کسپرسکی تشریح کرد که گروه لازاروس کرهشمالی چگونه از یک روز صفر در Google Chrome مخفی در یک بازی جعلی بلاکچین برای نصب بدافزار و برداشت اطلاعات کیفپول استفاده کرده و گاهی از هوش مصنوعی تولیدی برای فریب قربانیان بهره برده است. اوایل همان سال، Trust Wallet از یک اکسپلویت روز صفر iMessage که گفته میشد در دارکوب به قیمت ۲ میلیون دلار عرضه شده بود هشدار داد — که اهمیت آسیبپذیریهای بدون کلیک و iMessage را برای عاملان تهدید که بهدنبال داراییهای دیجیتال هستند، نشان میدهد.
چشمانداز گستردهتر امنیت رمزنگاری در ۲۰۲۵
این وصله بدون کلیک در زمانی منتشر میشود که خسارات بخش رمزنگاری در سال ۲۰۲۵ تشدید شده است. CertiK گزارش داد بیش از ۲.۲ میلیارد دلار در نیمه اول سال بهدلیل هکها و کلاهبرداریها از دست رفته است. حوادث بزرگ آمارها را تحت تأثیر قرار دادند — برای مثال، Bybit دچار نقض ۱.۵ میلیارد دلاری شد و Cetus Protocol حدود ۲۲۵ میلیون دلار از دست داد — اما حتی با حذف آنها، خسارات حدود ۶۹۰ میلیون دلار بود. تنها در ژوئیه، ۱۷ نقض بزرگ تقریباً ۱۴۲ میلیون دلار خسارت بههمراه داشت که ۲۷.۲٪ افزایش نسبت به ژوئن بود.
حوادث برجسته در اوت شامل ادعاهایی درباره یک بهرهبرداری ۴۸ میلیون دلاری در بورس ترکیهای BtcTurk بود که سپردهها و برداشتهای کیفپولهای داغ را معلق کرد در حالی که عملیات فیات را حفظ کرد. پروژههای دیفای و قراردادهای هوشمند نیز هدف باقی میمانند: در ۸ اوت، گزارش شد که CrediX Finance پس از یک اکسپلویت ۴.۵ میلیون دلاری که کنترل کیفپول مولتیسیگ پروژه را برای مینت توکنهای بدون پشتوانه سواستفاده کرد، ناپدید شد.
گروههای باجافزاری تصویر تهدید را تشدید میکنند. گروه جدیدی بهنام Embargo از آوریل ۲۰۲۴ بیش از ۳۴ میلیون دلار رمزنگاری پولشویی کرده است، ظاهراً از عملیات منحلشده BlackCat بازبرند شده و مؤسسات مراقبتهای بهداشتی آمریکا را با درخواستهای باج اغلب بالای ۱ میلیون دلار هدف قرار داده است.
نکات کلیدی برای افراد و مؤسسات
- امنیت دستگاه را بهعنوان خط دفاع اول برای حفاظت از کیفپولها در نظر بگیرید. حتی تدابیر پیچیده در زنجیره میتوانند در صورت افشای کلیدهای خصوصی یا عبارات بازیابی روی یک دستگاه آسیبپذیر دور زده شوند.
- همیشه وصلههای امنیتی را فوراً نصب کنید. آسیبپذیریهای بدون کلیک مانند CVE-2025-43300 برای مهاجمان ارزشمند هستند چون نیاز به مراحل مهندسی اجتماعی را حذف میکنند.
- برای داراییهای قابل توجه، کیفپولهای سختافزاری و نگهداری آفلاین کلیدها را ترجیح دهید. در صورت استفاده از خدمات حضانتی، عملیات امنیتی سختگیرانه اعمال کنید، از جمله دستگاههای اختصاصی، MFA و چرخش مکرر اطلاعات ورود.
- هشدارهای رسمی از فروشندگان پلتفرم (اپل، گوگل) را دنبال کنید و از بهترین شیوهها موسسات امنیتی معتبر و خدمات حسابرسی پیروی نمایید.
با نصب فوری بهروزرسانیهای اپل و بازنگری در روشهای نگهداری کیفپول، کاربران و سازمانهای رمزنگاری میتوانند در معرض بدافزارهای مبتنیبر دستگاه و تهدیدات پیشرفته دیگری که به سرقت غیرقابلبرگشت داراییها میانجامند کمتر قرار گیرند.
منبع: cryptonews
.avif)
نظرات