بروزرسانی iOS 9.3.5 سه باگ امنیتی مهم را برطرف می کند

آیا در چند روز گذشته اعلانی برای بروزرسانی دستگاه خود به iOS 9.3.5 دریافت کرده‌اید؟ اگر این گونه است، نباید لحظه‌ای برای نصب آن درنگ کنید، چرا که با انجام این بروزرسانی، سه آسیب‌پذیری امنیتی بسیار مهم برطرف می‌شود. این سه باگ توسط یک کمپانی و احتمالا در بازه‌ی زمانی جاسوسی دولت امارات متحده‌ی عربی از مردمش کشف شده‌اند. این کمپانی که NSO نام دارد، به فروش نرم‌افزارهای نظارتی که از سه حفره‌ی امنیتی دست اول موجود در iOS بهره می‌برند مشغول است. محققانی که این حفره‌های امنیتی را به اپل گزارش کرده‌اند می‌گویند این عمل، کاری است که به ندرت اتفاق می‌افتد. این حفره‌ها پیش‌تر کشف نشده بودند و اپل نیز هیچ اطلاعی از وجود آن‌ها نداشت تا به برطرف کردن آن‌ها بپردازد.

شروع این جریان‌ها با ماجرای احمد منصور که یکی از مدافعان مشهور حقوق بشر و ساکن امارات متحده‌ی عربی است زده شد. او در تاریخ ۲۰ و ۲۱ مرداد ماه سال جاری، پیامکی از یک منبع ناشناس دریافت کرد که به او قول داده بود در صورت کلیک بر روی یک لینک خاص، اسرار جدیدی در مورد شکنجه‌ی بازداشت‌شدگان در زندان‌های امارات متحده‌ی عربی در اختیار او قرار دهد. اما منصور بر روی لینک فرستاده شده کلیک نکرده و آن را مستقیما برای محققان Citizen Lab در دانشگاه تورنتو ارسال کرد. اگر منصور بر روی لینک مورد نظر کلیک می‌کرد، مهاجمان می‌توانستند آیفون ۶ او را جیلبریک کرده و جاسوس‌افزار مورد نظر خود را بر روی آن نصب کنند.

با توجه به گزارش Citizen Lab، تنها یک بار آلوده شدن کافی بود تا آیفون منصور تبدیل به یک جاسوس دیجیتال در جیب او شود. بدین ترتیب دستگاه می‌توانست دوربین و میکروفن را کنترل کرده و به تجسس در فعالیت‌های انجام شده در اطراف خود بپردازد. این جاسو‌س‌افزار می‌توانست پیام‌های واتس‌اپ و وایبر او را بخواند، پیام‌های ارسال شده از طریق برنامه‌های چت موبایلی را ثبت نموده و حتی جابجایی‌ها و مکان او را ردیابی کند. این تیم با محققانی در LookOut Security همکاری کرده و موفق شدند که رد این جاسوس‌افزار را تا کمپانی NSO دنبال کنند. NSO یک کمپانی جنگ سایبری است که سازنده‌ی پگاسوس است. پگاسوس نیز یک ابزار جاسوسی و رهگیری قانونی مخصوص دولت‌ها است. جالب است بدانید که NSO‌ در مالکیت یک شرکت سرمایه‌گذاری آمریکایی به نام Francisco Partners Management است.

این محققان همچنین در گزارش خود نوشته‌اند:

ارزش بالای حفره‌های امنیتی جدید آیفون، استفاده‌ی آشکار از ابزار NSO به نام پگاسوس که مخصوص دولت‌ها است و هدف‌گذاری پیشین دولت امارات متحده‌ی عربی بر روی منصور، شواهدی فراهم آورده است که با توجه به آن‌ها می‌توان گفت دولت امارات متحده ی عربی، عامل اصلی این ماجرا است.

به محض کشف این تیر خطرناک سه‌سر، Citizen Labs و Lookout Security بلافاصله به اپل اطلاع دادند. کمپانی کوپرتینویی نیز قول داد که به سرعت این آسیب‌پذیری‌ها را اصلاح کند و ۱۰ روز بعد با ارائه‌ی iOS 9.3.5 آن‌ها را به صورت کامل برطرف کرد. به احتمال زیاد این آخرین بروزرسانی iOS 9 خواهد بود و iOS 10 به زودی در اختیار کاربران قرار خواهد گرفت. این آسیب‌پذیری و راه حل آن، چند هفته پس از نخستین برنامه‌ی bug bounty اپل ظاهر شدند. این برنامه با هدف تشویق افراد و گروه‌ها به گزارش باگ‌های سیستم‌عامل این کمپانی ایجاد شده است و در آن پاداش‌هایی تا سقف ۲۰۰ هزار دلار برای کشف حفره‌های امنیتی پیش‌بینی شده است.

نسخه‌ی ۹.۳.۵ سیستم‌عامل iOS هم‌اکنون در دسترس کاربران قرار دارد.