تصحيحات آبل للثغرات بدون نقرات تهدد محافظ العملات المشفرة

في 25 أغسطس 2025، أصدرت شركة آبل تحديثًا أمنيًا عاجلًا لتخفيف ثغرة حرجة ذات نقرة صفرية (CVE-2025-43300) ضمن إطار عمل Image I/O الخاص بها. مكّنت هذه الثغرة معالجة ملفات صور مصممة خصيصًا يمكن أن تؤدي إلى كتابة خارج حدود الذاكرة وتنفيذ أكواد تعسفية دون الحاجة إلى تفاعل المستخدم. يُصنف هذا النوع من الاستغلال، الذي يُعرف غالبًا باسم نقرة صفرية، على أنه خطر خاص لحاملي العملات المشفرة، حيث يمكن استخدامه لاختراق تطبيقات المحافظ والوصول إلى المفاتيح الخاصة المخزنة على الجهاز.

أشارت نشرة آبل إلى وجود أدلة على استغلال الثغرة في هجمات متطورة في الواقع ضد أهداف ذات قيمة عالية. تشمل المنصات المتأثرة iOS 18.6.2، وiPadOS 18.6.2 و17.7.10، وmacOS Sequoia 15.6.1، وSonoma 14.7.8 وVentura 13.7.8. قامت الشركة بتحسين فحوصات الحدود في مكتبة Image I/O لتصحيح أوجه القصور في معالجة الذاكرة التي سمحت بالكتابة خارج النطاق.

حذر خبراء الأمن من أن طبيعة الاستغلال ذات النقرة الصفرية تلغي المحفزات التي يعتمدها المستخدمون عادة، مثل فتح مستند أو النقر على رابط. بدلاً من ذلك، يمكن للمهاجمين خبيثين تضمين حمولات ضارة داخل بيانات وصف الصورة الموزعة عبر منصات المراسلة مثل iMessage. عند الاستلام، تقوم روتينات عرض الصور التلقائية في الجهاز بمعالجة البيانات الخبيثة، مما يؤدي إلى اختراق الجهاز وسرقة محتملة للمعلومات الحساسة—بما في ذلك بيانات اعتماد محافظ العملات المشفرة وعبارات الاسترداد ورموز التوثيق الخاصة بالتبادل.

أكد جوليانو ريزو، مؤسس شركة الأمن السيبراني Coinspect، على ارتفاع المخاطر على مستخدمي الأصول الرقمية. ونصح الأهداف ذات القيمة العالية بتدوير المفاتيح الخاصة فورًا وهجرة الأصول إلى محافظ الأجهزة. للمستخدمين العامين، أوصت آبل بالتركيب الفوري لتحديثات الأمان والتحقق من إصدارات البرامج المثبتة، محذرة من أن تأخير التحديث قد يترك الأجهزة عرضة لهجمات إضافية.

سلّط مزود تحليلات البلوكشين CertiK الضوء على أن ثغرات نقرة صفرية مشابهة استغلها فاعلون مدعومون من دول في حملات سابقة. تؤكد هذه الثغرة الجديدة في آبل على الحاجة المستمرة لأبحاث الثغرات والإفصاح الاستباقي. وتُعد هذه الحالة السادسة لصفر يوم تعاملت معها آبل في 2025، وهو معدل قياسي يعكس تزايد قدرات الخصوم في البيئة الحية.

يُحث التنظيمات التي تتعامل مع عمليات عملات مشفرة واسعة النطاق على إجراء تدقيق دوري للأجهزة، وفرض سياسات تحديث صارمة، والنظر في حلول الدفاع ضد التهديدات المتنقلة التي يمكنها اكتشاف سلوكيات شاذة تدل على استغلال نقرة صفرية. كما يُنصح مطورو البرمجيات في منظومة التشفير بعزل عمليات المحافظ وتقليل أسطح الهجوم عن طريق فصل العمليات الحاسمة للتوقيع عن رمز التطبيق العام.

مع بدء طرح التحديث، أكدت شركة آبل التزامها بالتخفيف السريع للثغرات والتعاون مع مجتمع أبحاث الأمان. ويُوجه المستخدمون إلى قنوات دعم آبل للحصول على تعليمات التحديث والمزيد من الإرشادات لتأمين أجهزتهم وأصولهم الرقمية في ظل تطور المشهد التهديدي.