.webp)
7 دقیقه
اپل بهسرعت برای رفع آسیبپذیری صفر-کلیک مبتنی بر تصویر که کیفپولهای رمزارز را در معرض خطر قرار میداد، اقدام کرد
اپل یک بهروزرسانی امنیتی اضطراری منتشر کرده است تا یک آسیبپذیری صفر-کلیک را ببندد که میتوانست به مهاجمان امکان دهد iPhone، iPad و Mac را به خطر بیندازند — تهدیدی که کارشناسان امنیتی میگویند میتواند منجر به زیانهای فورا و غیرقابل بازگشت برای دارندگان رمزارز شود. این مشکل با شناسه CVE-2025-43300 ثبت شده و در چارچوب Image I/O اپل کشف شده است که پردازش تصویر در دستگاههای اپلی را مدیریت میکند.
این سوءاستفاده چه کاری انجام میدهد و چرا کاربران رمزارز باید نگران باشند
طبق اطلاعیه اپل، یک فایل تصویر بهطور ویژه ساختهشده میتواند باعث فساد حافظه در مولفه Image I/O شود و اجرای کد از راه دور را بدون هیچگونه تعامل کاربر ممکن سازد. این یعنی صرفاً دریافت یک تصویر — از طریق iMessage، Mail یا اپلیکیشن دیگری — میتواند برای اجرای کد دلخواه روی یک دستگاه آسیبپذیر کافی باشد.
برای هر کسی که کلیدهای خصوصی، اطلاعات ورود کیفپول یا حسابهای صرافی را روی گوشی یا تبلت خود ذخیره میکند، این سناریو بهویژه خطرناک است. برخلاف انتقالهای بانکی سنتی، تراکنشهای رمزارزی غیرقابل بازگشت هستند: اگر مهاجمان کیفپول را خالی کنند یا به حساب صرافی دسترسی پیدا کنند، اغلب بازیابی وجوه ممکن نیست.
بهروزرسانیها و دستگاههای تحت تاثیر
اپل بهسرعت اصلاحات را بهصورت iOS 18.6.2 و iPadOS 18.6.2 ارائه کرد و همچنین بهروزرسانیهایی برای macOS Sequoia 15.6.1، Sonoma 14.7.8 و Ventura 13.7.8 منتشر نمود. شرکت اعلام کرد که این اصلاح از آیفونهایی از نسل iPhone XS تا محدوده iPhone 16 را پوشش میدهد، آیپدهای پشتیبانیشده شامل iPad Pro، iPad Air (نسل 3 به بعد)، iPad (نسل 6 به بعد) و iPad mini (نسل 5 به بعد) است و همچنین مکهایی که سه نسخه اخیر macOS را اجرا میکنند.
اپل از کاربران خواست تا برای جلوگیری از احتمال بهرهبرداری، وصله را بهصورت دستی نصب کنند و منتظر بهروزرسانیهای خودکار نمانند.
اقدامات فوری کاهش ریسک برای کاربران رمزارز
متخصصان امنیتی توصیه میکنند هر فرد در اکوسیستم رمزارز اقدامات احتیاطی فوری را انجام دهد:
- بهصورت دستی بهروزرسانیهای امنیتی اپل را روی تمام iPhone، iPad و Macهایی که کنترل میکنید، نصب کنید.
- کلیدهای خصوصی و عبارات بازیابی را از دستگاههایی که ممکن است به خطر افتادهاند، منتقل کنید. در نظر بگیرید که کیفپولها را به یک کیفپول سختافزاری (ذخیرهسازی سرد) مانند Ledger یا دستگاه معتبر دیگر منتقل کنید.
- مجوزهای اپلیکیشنها را بازپسگیرید و خدمات حیاتی مانند ایمیل، ذخیرهسازی ابری و حسابهای صرافی را دوباره احراز هویت کنید. گذرواژهها را بازنشانی کنید و از رمزهای عبور قوی و یکتا و احراز هویت چندمرحلهای (MFA) در صورت امکان بهره ببرید.
- اگر مشکوک به نفوذ هستید، رفتار غیرمعمول سیستم را مستندسازی کنید، اما آگاه باشید که تفسیر لاگهای دستگاه برای غیرمتخصصان میتواند دشوار باشد.
این اقدامات ریسک استفاده مهاجمان از یک دستگاه بهتنهـا برای دسترسی به اپهای کیفپول، مدارک صرافیهای نگهدارنده یا پشتیبانهای همگامسازیشده ابری که ممکن است کلیدهای خصوصی را فاش کنند، کاهش میدهد.
.avif)
زمینه: پیچیدگی فزاینده حملات علیه کاربران رمزارز
اپل اشاره کرده است که گزارشهایی دریافت کرده که نشان میدهد ممکن است از این آسیبپذیری در حملات هدفدار و بسیار پیچیده استفاده شده باشد. در حالی که شرکت تعداد افرادی که ممکن است هدف قرار گرفتهاند را افشا نکرد، تحلیلگران امنیتی هشدار میدهند که وقتی یک آسیبپذیری در دسترس عموم قرار میگیرد، اغلب بهرهبرداری گستردهتری دنبال میشود.
ضرورت این وصله بازتاب کمپینهای هدفدار اخیر علیه دارندگان رمزارز است. در سال 2024، کسپرسکی تشریح کرد که گروه لازاروس از کره شمالی چگونه از یک روز-صفر Google Chrome که در یک بازی جعلی بلاکچین مخفی شده بود برای نصب بدافزار و استخراج مدارک کیفپول استفاده کرد و گاهی از هوش مصنوعی تولیدی برای فریب قربانیان بهره برد. اوایل همان سال، Trust Wallet درباره یک اکسپلویت روز-صفر iMessage که گزارش شده بود ارزش 2 میلیون دلار در دارکوب داشته باشد هشدار داد — که نشاندهنده ارزش بالای آسیبپذیریهای صفر-کلیک و iMessage برای بازیگران تهدیدآمیز است که به دنبال داراییهای دیجیتالاند.
چشمانداز گستردهتر امنیت رمزارز در 2025
این وصله صفر-کلیک در حالی منتشر میشود که خسارتها در بخش رمزارز در سال 2025 افزایش یافته است. CertiK گزارش داد بیش از 2.2 میلیارد دلار در نیمه اول سال بهدلیل حملات و کلاهبرداریها از دست رفته است. رخدادهای بزرگ مجموع را بهشدت تحتتأثیر قرار دادند — برای مثال، Bybit با نفوذی به ارزش 1.5 میلیارد دلار مواجه شد و Cetus Protocol حدود 225 میلیون دلار از دست داد — اما حتی با حذف اینها، زیانها حدود 690 میلیون دلار بودند. تنها در جولای، 17 نفوذ بزرگ منجر به حدود 142 میلیون دلار خسارت شد که 27.2٪ افزایش نسبت به ژوئن را نشان میدهد.
حادثههای پراهمیت در آگوست شامل ادعاهایی درباره یک اکسپلویت 48 میلیون دلاری در صرافی ترکیهای BtcTurk بود که سپردهگذاری و برداشت از کیفپولهای گرم را معلق کرد در حالی که عملیات فیات را ادامه داد. پروژههای DeFi و قراردادهای هوشمند نیز همچنان هدفاند: در 8 آگوست، گزارش شد که CrediX Finance پس از یک اکسپلویت 4.5 میلیون دلاری که کنترل کیفپول چندامضایی پروژه را سوءاستفاده کرده و توکنهای بدون پشتوانه مینت کرده بود، ناپدید شد.
گروههای باجافزاری هم تصویر تهدید را تشدید میکنند. گروه جدیدی به نام Embargo از آوریل 2024 بیش از 34 میلیون دلار رمزارز شستشو داده است، که گفته میشود از عملیات منحلشده BlackCat بازبرند شده و سازمانهای بهداشتی در آمریکا را با درخواستهای باج غالباً بیش از 1 میلیون دلار هدف قرار داده است.
نتیجهگیریهای کلیدی برای افراد و سازمانها
- امنیت دستگاه را بهعنوان خط دفاع اول برای حفاظت از کیفپول در نظر بگیرید. حتی دفاعهای پیچیده روی زنجیره میتواند در صورت افشای کلیدهای خصوصی یا عبارات بازیابی روی یک دستگاه آسیبپذیر دور زده شود.
- همیشه وصلههای امنیتی را فوراً نصب کنید. آسیبپذیریهای صفر-کلیک مانند CVE-2025-43300 برای مهاجمان بسیار ارزشمندند چون نیازی به مراحل مهندسی اجتماعی حذف میکنند.
- برای داراییهای قابلتوجه، کیفپولهای سختافزاری و نگهداری آفلاین کلیدها را ترجیح دهید. در صورت استفاده از خدمات امانی، امنیت عملیاتی سختگیرانه را اعمال کنید، از جمله دستگاههای اختصاصی، MFA و گردش مکرر مدارک.
- اطلاعیههای رسمی از تأمینکنندگان پلتفرم (Apple، Google) را دنبال کنید و از بهترین شیوههای شرکتهای معتبر امنیتی و خدمات حسابرسی پیروی نمایید.
با نصب فوری بهروزرسانیهای اپل و بازبینی روشهای نگهداری کیفپول، کاربران و سازمانهای فعال در حوزه رمزارز میتوانند در معرض بدافزارهای مبتنی بر دستگاه و سایر تهدیدات پیشرفته که هدفشان سرقت غیرقابل بازگشت داراییهاست، کمتر قرار گیرند.
منبع: cryptonews
نظرات