واتساب والنقرة الصفرية على iOS وmacOS: ما حدث وكيف تحمي نفسك

  • تم ربط WhatsApp CVE-2025-55177 مع CVE-2025-43300 من Apple في هجمات النقر الصفري المستهدفة.
  • تأثرت الإصدارات الأقدم من WhatsApp على أنظمة iOS وBusiness وMac؛ والآن تتوفر التحديثات اللازمة.
  • أبلغت شركة Meta عن أقل من 200 ضحية محتملة وأوصت بإعادة ضبط المصنع في الحالات المشتبه بها.
  • يعد تحديث التطبيقات والأنظمة وتعزيز الكشف السلوكي أمرًا أساسيًا للتخفيف من سلاسل الاستغلال.
Andy Acosta

13 دقيقة

ثغرة النقرة الصفرية في WhatsApp لنظامي التشغيل iOS وmacOS

في الأيام الأخيرة تم رفع حالة تأهب خطيرة: ثغرة عدم النقر في واتساب أثرت على مستخدمي iOS وmacOS، واستُغلت بنشاط ضمن سلسلة أوسع استغلت أيضًا ثغرة على مستوى نظام التشغيل في Apple. تم تصحيح القضية، لكن هذه الحلقة تُعيد فتح النقاش حول تزايد الحملات التي تُربط بين عدة هجمات يوم الصفر. تقديم برامج التجسس دون تفاعل المستخدم.

تتضمن الصورة الكاملة قطعتين رئيسيتين: خطأ WhatsApp الذي تم تحديده على أنه CVE-2025-55177، و يوم الصفر لشركة Apple CVE-2025-43300وبحسب التحذيرات الرسمية وتأكيدات الباحثين من منظمات مثل منظمة العفو الدولية، فإن الهجوم كان نشطًا لمدة 90 يومًا تقريبًا واستهدف مجموعة صغيرة من الأشخاص، أقل من 200 هدففي عملية مُستهدفة للغاية. على الرغم من سرعة استجابة ميتا وآبل من خلال التحديثات، فقد أُوصي باتخاذ تدابير بالغة التأثير، مثل إعادة ضبط المصنع من الأجهزة التي يحتمل أن تكون معرضة للخطر.

ماذا حدث ولماذا هو مهم

ال WhatsApp multidispositivo
المادة ذات الصلة:
كيف يكون الواتس اب على جهازين؟

في نهاية شهر أغسطس، أطلقت شركة أبل تحديث الطوارئ لإغلاق CVE-2025-43300، وهي مشكلة كتابة خارج الحدود الحرجة في إطار التصوير الخاص بها (ImageIO) والتي تؤثر على أنظمة iOS وiPadOS وmacOS. اعترفت الشركة بالاستغلال النشط ووصف هجمات بالغة التعقيد ضد أفراد محددين. وهذه هي الخلفية التي تم على إثرها تأكيد وجود رابط ثانٍ: CVE-2025-55177 على WhatsApp لنظامي التشغيل iOS وmacOS.

تم إصلاح خطأ WhatsApp بالفعل في الإصدارات الأخيرة، ولكن تم استخدامه بالاشتراك مع خطأ Apple لدفع سلسلة استغلال بدون نقرةفي هذا النهج، لا يحتاج الضحية إلى فتح أي شيء أو لمس الهاتف: يكفي أن يقوم الجهاز بمعالجة المحتوى الضار الذي يصل عبر القنوات المناسبة، وهو أمر يقلل الاحتكاك إلى الصفر للمهاجم ويزيد من المخاطر.

تتناسب هذه الحالة مع اتجاه واضح: حيث تقوم الجهات الفاعلة المتقدمة بربط نقاط ضعف متعددة بـ التهرب من الضوابط وتحقيق الاستمرارية. إنها ليست ظاهرة جديدة، لكن استخدامها ازداد بشكل مطرد على مدار السنوات الأربع الماضية؛ حيث سجلت مجموعة تحليل التهديدات التابعة لشركة جوجل 75 يومًا صفرًا يتم استغلالها بنشاط بحلول عام 2024وفي عام 2025 ستظل هجمات الأيام صفر هي المتجه الأولي الأساسي للاختراق في حوالي ثلث عمليات الاختراق.

وأخطرت واتساب بشكل مباشر الأشخاص الذين ربما تأثروا بالمشكلة، وبالإضافة إلى التصحيح، أوصت باتخاذ إجراءات حاسمة: استعادة الجهاز إلى إعدادات المصنعالسبب واضح: حتى لو تم تعطيل الاستغلال المحدد في WhatsApp، فمن الممكن أن النظام البقاء ملتزمًا من خلال مكونات البرامج الضارة المستمرة.

كيف تعمل هجمات النقر الصفري

هجوم النقر الصفري هو في الأساس استغلال لا يتطلب أي تفاعل من جانب المستخدم. لا فتح رسالة، ولا النقر على رابط، ولا تنزيل أي شيء: كل ما يلزم هو أن يستقبل النظام مُدخلات خبيثة ويعالجها. بإلغاء تدخل الضحية، يُصبح هذا النوع من الاستغلال خطير بشكل خاص ويصعب اكتشافها في الوقت المناسب.

وفي القضية التي تم التحقيق فيها، بدأ الناقل من تطبيق واتساب واستغل فحص الأذونات غير كافٍ في تدفق مزامنة الأجهزة المرتبطة. بعد هذا التمركز الأولي، اندمجت السلسلة مع ثغرة أمنية في Apple لرفع الامتيازات، والاستمرار، وربما تقديم برامج التجسس ذات القدرات المتقدمة (الوصول إلى البيانات والميكروفون أو الكاميرا وغيرها).

والسبب هو أن WhatsApp يعمل بأذونات محدودة، لذا فإن الهجوم الكامل يتطلب غالبًا طبقة ثانية في النظام للحصول على الثبات والقدرات الأعمق. سلسلة من الإخفاقات وهذا ما تم ملاحظته هنا.

من منظور الدفاع، فإن النقرة الصفرية تجبرنا على تعزيز سطح الهجوم في النقاط التي يقوم فيها النظام بمعالجة المحتوى تلقائيًا (محللات الوسائط، ومكتبات الصور، وإجراءات المزامنة)، حيث تصبح أهدافًا ذات أولوية للمهاجمين الذين لديهم الموارد.

التفاصيل الفنية لـ CVE-2025-55177 (WhatsApp)

تفاصيل CVE-2025-55177 في WhatsApp

يصف معرف CVE-2025-55177 تفويض غير مكتمل رسائل المزامنة على أجهزة واتساب المرتبطة. عمليًا، كان هذا التحقق المتساهل سيسمح لممثل عن بُعد المعالجة القسرية من المحتوى من عنوان URL عشوائي على جهاز الضحية، دون الحاجة إلى أي تفاعل.

وقالت واتساب إن الثغرة كانت تم استغلالها في الهجمات المستهدفة، والتي تُقدّر عددًا صغيرًا من الضحايا (أقل من 200) خلال الأشهر الثلاثة الماضية. درجة الشدة المرتبطة ببعض الملاحظات العامة هي سي في إس إس 5.4ومع ذلك، فإن تأثيره الحقيقي يزداد عندما يكون جزءًا من سلسلة بدون نقرة مع نظام اليوم صفر.

وفيما يتعلق بالتأثير، يشير إشعار البائع إلى أن المشكلة تؤثر على فروع متعددة للتطبيق: WhatsApp لنظام iOS قبل الإصدار 2.25.21.73؛ واتساب للأعمال لنظام iOS قبل 2.25.21.78؛ و WhatsApp الفقرة Mac قبل 2.25.21.78. هذه الإصدارات تحتوي بالفعل على تم إصدار التصحيحات.

وأوصت ميتا وواتساب، بالإضافة إلى التحديث، باتخاذ تدابير احتواء استثنائية في الحالات التي تظهر فيها علامات الاختراق: اعدادات المصنعقم بتحديث نظام التشغيل ثم قم بمراجعة الإعدادات والأذونات.

رابط Apple: CVE-2025-43300 والتحديثات

القطعة الأخرى من السلسلة هي CVE-2025-43300، وهي الكتابة خارج الحدود في ImageIO قامت شركة Apple بإصلاح الثغرة في أواخر أغسطس. أصدرت الشركة تحديثات طارئة لأنظمة iOS وiPadOS وmacOS، مشيرةً إلى وجود تقارير عن استغلال نشط ضد أهداف محددة، ووصفت الهجمات بأنها متطور للغاية.

تتضمن الإصدارات التي تحتوي على إصلاحات ما يلي: iOS 18.6.2 , iPadOS 18.6.2, iPadOS 17.7.10, ماك سيكويا 15.6.1, macOS سونوما 14.7.8 y ماك أو إس فينشر 13.7.8على الرغم من أن شركة Apple لم تكشف عن تفاصيل تقنية عميقة، إلا أن أطر معالجة الصور كانت تاريخيًا المرشحين ذوي الأولوية للمهاجمين بسبب الحجم الكبير للمحتوى الذي "تستوعبه" تطبيقات وخدمات النظام.

ويؤكد الخبراء المستقلون أنه عندما يكون لدى مكتبة صور أساسية مثل ImageIO خلل قابل للاستغلال، فإن النطاق المحتمل يتوسع، كما هو الحال تطبيقات متعددة يمكن أن تصبح متجهات إدخال، وليس مجرد تطبيق محدد.

النطاق والضحايا والإسناد

وأكدت شركة ميتا أنها أخطرت الأفراد المتأثرين المحتملين وأن عدد الأهداف كان أقل من 200. وقال دونشا أو سيربهيل، من مختبر الأمن التابع لمنظمة العفو الدولية، إنها كانت حملة برامج التجسس المتقدمة والتي كانت تعمل خلال الأيام التسعين الماضية وأثرت على أعضاء المجتمع المدني والصحفيين وغيرهم من الشخصيات الحساسة.

وفي تحليلها العام، حذرت منظمة العفو الدولية من أن التأثير قد لا يقتصر على منصة واحدة، مشيرة إلى علامات التأثير على آيفون وأندرويدوفي الوقت نفسه، حددت واتساب وأبل بوضوح محيط الإصدارات والأنظمة المعنية، لذا فإن الإجراء الفوري هو تطبيق كافة التحديثات متوفرة واتبع توصيات الاحتواء.

وقد قيّم الخبير بييرلويجي باجانيني الحادث باعتباره تذكيرًا بأن حتى المنصات الضخمة والمحمية جيدًا لا تزال الأسطح المكشوفةلقد زاد استخدام النقرة الصفرية في حملات المراقبة الحكومية والتجارية، مما يعزز الحاجة إلى تحسين الضوابط، الشفافية والتدقيق الأمن.

الإصدارات المتأثرة والتحديثات المتوفرة

شرح هجمات النقر الصفري

أصدر WhatsApp إصلاحات لـ جميع الفروع المتضررة من عملائها في شركة Apple:

  • WhatsApp لنظام iOS- التحديث إلى 2.25.21.73 أو أعلى.
  • واتساب للأعمال لنظام iOS- التحديث إلى 2.25.21.78 أو أعلى.
  • WhatsApp الفقرة Mac- التحديث إلى 2.25.21.78 أو أعلى.

من جانب شركة Apple، من الضروري تثبيت الإصدارات المصححة: iOS 18.6.2 , iPadOS 18.6.2 / 17.7.10, ماك 15.6.1 / 14.7.8 / 13.7.8. نظرًا لأن السلسلة الملاحظة تجمع بين التطبيق والنظام، فإن الحماية الفعالة تتطلب تحديث كليهما.

بالإضافة إلى ذلك، فإن وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أضاف CVE-2025-55177 إلى كتالوجه الثغرات الأمنية المستغلة المعروفة (KEV) في الثاني من سبتمبر، أمرت المحكمة العليا الوكالات الفيدرالية بإصلاح المشكلة بحلول الثالث والعشرين من سبتمبر، مما عزز من إلحاح القضية.

توصيات عاجلة للمستخدمين

على الرغم من أن التصحيح متوفر الآن، إذا تلقيت إشعارًا أو اشتبهت في وجود اختراق، فمن المستحسن اتخاذ التدابير المناسبة. الاحتواء والصرف الصحي أكثر صرامة، مثل المراجعة دعم واتبع الخطوات الموضحة:

  • تحديث WhatsApp (iOS وBusiness وMac) إلى الإصدارات المشار إليها أو الإصدارات الأحدث.
  • تطبيق كافة تحديثات iOS وiPadOS وmacOS مع تصحيحات الأمان الأخيرة.
  • إذا كانت هناك علامات تدل على وجود تسلل، قم بإجراء إعادة ضبط المصنع من الجهاز وإعادة تثبيته من البداية.
  • المراجعة والتصلب تطبيقات permisos deقم بتعطيل الميزات غير الضرورية وقم بتمكين 2FA حيثما كان ذلك مناسبًا.

هذه الإجراءات تقلل من احتمالية الاستمرار المكونات الضارة التي تم تثبيتها من خلال الاستفادة من سلسلة الاستغلال، وتقليل خطر محاولات إعادة الإصابة.

إجراءات للشركات وفرق الأمن

في البيئات المؤسسية، الأولوية هي تنظيم عملية التصحيح باستخدام حلول MDM، يمكنك التحقق من توافق الإصدار ومراقبة علامات السلوك الشاذ على نقاط النهاية والحسابات.

التوصيات الرئيسية لفرق مركز العمليات الأمنية والبحث عن التهديدات: جمع وتحليل السجلات متعلقة بالمراسلة والمزامنة بين الأجهزة المرتبطة وأحداث الشبكة وعمليات الوسائط المتعددة، والبحث عن أنماط غير عادية.

في حالة وجود شكوك مبررة، فمن المستحسن البدء بالإجراءات تحليل الطب الشرعي (التفريغ المنطقي/الملف، ومراجعات الاستمرارية وملفات تعريف التنفيذ) والتنسيق مع مزود EDR لقواعد الاحتواء المؤقتة.

من المفيد تحديد دليل محدد لـ تطبيقات المراسلة بدون نقرة، نظرًا لأن تدفقات الإدخال وتحليل المحتوى تختلف عن عمليات الاختراق التقليدية القائمة على التصيد الاحتيالي.

الكشف والاستجابة: SOC Prime وUncoder AI

لتعزيز القدرة على الكشف، منصة SOC Prime يوفر الوصول إلى السوق العالمية مع أكثر من 600.000 قاعدة اكتشاف واستعلامات تم إنشاؤها بواسطة مهندسين متخصصين، ويتم تحديثها يوميًا وإثرائها بـ استخبارات التهديد.

تتماشى هذه الاكتشافات مع MITER ATT & CK وتشمل روابط CTI وجداول زمنية للهجوم وتكوينات التدقيق وتوصيات الفرز والبيانات الوصفية، مما يجعل من الأسهل رسم الخرائط التكتيكية والتقنية والقدرة على التشغيل عبر العديد من أنظمة SIEM وEDRs وبحيرات البيانات.

يمكن للفرق استكشاف مجموعة قواعد سيجما القائمة على السلوك تحت تسمية "CVE" باستخدام الوظيفة استكشاف الاكتشافات، تسريع التغطية ضد التهديدات النشطة والناشئة حول CVE-2025-55177.

وبالإضافة إلى ذلك، فك التشفير AI —بيئة التطوير المتكاملة/مساعد هندسة الكشف—تتضمن وضع الدردشة ودعم أدوات MCP، مما يسمح بتحويل IOCs إلى استشارات الصيد في ثوانٍ، قم بإنشاء رمز الكشف من التقارير الخام، وإنشاء مخططات تدفق الهجوم، والتنبؤ بعلامات ATT&CK، وتحسين الاستعلامات باستخدام الذكاء الاصطناعي، وترجمة المحتوى بين المنصات.

الاتجاهات: صعود هجمات الأيام الصفرية المتسلسلة

تظهر السنوات الأخيرة زيادة مستدامة في استغلال الأيام الصفريةمع اختلافات سنوية طفيفة. وثّقت مجموعة جوجل للعلامات 75 حالات في عام 2024وفي عام 2025 ستظل هجمات الأيام صفر هي آلية الوصول الأولية الأساسية في حوالي ثلث محاولات الاختراق.

يميل الممثلون الذين لديهم المزيد من الموارد إلى ثغرات التسلسل —التطبيق + النظام— لتجاوز إجراءات التخفيف الحديثة، مما يرفع مستوى الدفاع: لم يعد التصحيح الواحد كافيًا، ولكن تغطية منسقة والتي تشمل الكشف بعد الاستغلال.

في هذا السياق، هناك أطر عمل مثل ATT&CK ومستودعات المجتمع للكشف المرتكز على السلوك (على سبيل المثال، سيجما) تساعد على تعميم التغطيات التي لا تعتمد على مؤشرات هشة.

وتؤكد قضية واتساب/آبل أن محللات المحتوى وستظل التدفقات "الصامتة" (التي لا تتطلب نقرات من المستخدم) في دائرة الضوء بسبب قدرتها على اختراق الأنظمة بشكل سري.

التسلسل الزمني والتحقق الرسمي

أصدرت شركة Apple تصحيحات طارئة في أواخر شهر أغسطس لـ CVE-2025-43300 وحذر من الاستغلال النشط ضد ضحايا محددين. ثم أصدر واتساب التحديثات في يوليو وأغسطس لإصلاح CVE-2025-55177 على iOS وBusiness وMac.

في 2 سبتمبر، CISA دمج CVE-2025-55177 في كتالوج KEV الخاص به، مما أجبر الوكالات الفيدرالية الأمريكية على التصحيح قبل 23 سبتمبروبالتوازي مع ذلك، أرسل واتساب تنبيهات إلى الأشخاص الذين يحتمل أن يتأثروا، موصيًا بـ إعادة ضبط المصنع والحفاظ على تحديث نظام التشغيل.

وأكد بيان ميتا أن التغييرات تم إجراؤها بالفعل لمنع تكرار ذلك. هذا الهجوم المحدد عبر واتساب، مضيفًا أن نظام التشغيل قد يظل معرضًا للخطر إذا استمرت آثار البرامج الضارة.

خلفية واتساب وبرامج التجسس

سياق الثغرة في واتساب وأبل

هذه الحادثة ليست معزولة. ففي مارس/آذار، أبلغ باحثو مختبر Citizen Lab عن حادثة أخرى ثغرة اليوم صفر والتي تم استغلالها لتثبيت برنامج التجسس Graphite التابع لشركة Paragon؛ وأعلنت شركة WhatsApp أنها أغلقت تلك الحملة. اتصل بالضحايا.

بالإضافة إلى ذلك، في عام 2019، رفعت واتساب دعوى قضائية ضد مجموعة NSO بواسطة بيغاسوس. في مايو 2024، أمرت محكمة أمريكية شركة NSO بدفع 167 مليون في الأضرار، مما يعزز فكرة أن المنصات على استعداد للتقاضي من أجل تثبيط هذه العمليات.

وقد أدى تكرار هذه الحالات إلى دفع شركة ميتا ومجتمع الأمن إلى الضغط من أجل ضوابط أقوى، فضلاً عن مزيد من الشفافية في عمليات الإفصاح والتنسيق في التصحيحات.

أندرويد: تصحيح الأمان لشهر سبتمبر 2025

على الرغم من أن الحادثة الرئيسية تؤثر على أنظمة Apple، إلا أن مشهد الأجهزة المحمولة بشكل عام يشهد تغيرات مستمرة. نشرت Google تصحيح الأمان لشهر سبتمبر 2025 بالنسبة لنظام Android، إصلاح 84 ثغرة أمنية، بما في ذلك اثنتان يتم استغلالهما بنشاط: CVE-2025-38352 (حالة سباق في مؤقتات POSIX في نواة Linux مع تصعيد الامتيازات/DoS) و CVE-2025-48543 (خلل في وقت تشغيل Android يسمح للتطبيقات الضارة التهرب من صندوق الرمل).

كما تم إصلاح أربع ثغرات أمنية حرجة، بما في ذلك CVE-2025-48539، وهو نظام تحكم عن بُعد (RCE) في مكون النظام، ويمكن تفعيله عبر البلوتوث أو واي فاي دون تدخل المستخدم. ثلاثة أنظمة أخرى (CVE-2025-21450، CVE-2025-21483، CVE-2025-27034) تؤثر على مكونات Qualcomm، مع تلف الذاكرة وأخطاء التحقق التي تمكن RCE على مودم النطاق الأساسي.

تتوفر التحديثات لنظام Android 13 إلى 16، ويوصى بالتحديث إلى أحدث المستويات. 2025-09-01 o 2025-09-05بالنسبة للأجهزة التي تعمل بنظام Android 12 أو إصدار أقدم، فمن المنطقي استبدلهم أو استخدم توزيعات مدعومة بنشاط. تمت مشاركة المزيد من التفاصيل العامة في هذا التواصل.

يذكرنا هذا السياق بأنه بغض النظر عن النظام البيئي، فإن نظافة التصحيحات وحوكمة الأجهزة تظل حرجة لتقليل سطح الهجوم ضد استغلال النقرة الصفرية.

الخدمات المتخصصة والدعم الخارجي

بالإضافة إلى التصحيحات، تختار بعض المؤسسات الاعتماد على البائعين الذين يتمتعون بإمكانيات تصحيح متقدمة. الأمن السيبراني والتنمية لتعزيز مكانتها. تجمع شركات مثل Q2BSTUDIO بين تطوير البرامج والتطبيقات المخصصة والذكاء الاصطناعي، الخدمات السحابية المُدارة (AWS/Azure) لنشر التصحيحات واكتشافات النطاق بشكل آمن.

تتضمن هذه الخدمات ممارسات التصلب، اختبارات الاختراق والتدقيق، بالإضافة إلى حلول ذكاء الأعمال (مثل Power BI) لتصور المخاطر والمقاييس التشغيلية. كما يطورون وكلاء الذكاء الاصطناعي للكشف عن الشذوذ في الوقت الحقيقي وأتمتة الاستجابة للحوادث.

المراجع والإشعارات الرسمية

إذا كنت بحاجة إلى مزيد من المعلومات الفنية، فيمكنك الرجوع إلى المصادر العامة وإشعارات الموردين: NVD (CVE-2025-55177), إشعار أمان ميتا, هاكر نيوز y BleepingComputer، بالإضافة الى تحديثات Apple المذكورة.

يشير كل شيء إلى حقيقة أن أفضل وسيلة للدفاع هي إبقاء النظام والتطبيقات محدثة، وتعزيز التكوينات، ودمجها الكشف القائم على السلوك ولديهم كتيبات استجابة. الدرس المستفاد من هذه الحملة واضح: عندما يجمع أحد الأطراف بين فشل التطبيق و يوم الصفر للنظامإن هامش اكتشافه في الوقت المناسب يضيق، لذا فمن المستحسن رفع مستوى الوقاية والمراقبة بشكل مستدام.