WARNING: Apple just confirmed a serious zero-click flaw in Messages was actively exploited

ثغرة صفرية في تطبيق رسائل Apple تُستغل للتجسس على صحفيين باستخدام برمجية Paragon

كشفت شركة Apple عن ثغرة أمنية في تطبيق الرسائل (Messages) تم استغلالها بنشاط في هجمات متطورة استهدفت أفرادًا في المجتمع المدني، قبل أن يتم تصحيحها في فبراير 2025 ضمن التحديث iOS 18.3.1 والإصدارات الأخرى المرتبطة بأنظمة iPadOS وmacOS وwatchOS وvisionOS.

الثغرة المُدرجة تحت المعرف CVE-2025-43200، كانت ناتجة عن مشكلة منطقية في معالجة الصور أو الفيديوهات التي يتم مشاركتها عبر رابط iCloud، وتم حلها من خلال تحسين آليات الفحص.

قالت Apple إنها تدرك أن الثغرة قد استُغلت في هجمات معقدة للغاية استهدفت أفرادًا بعينهم، لكنها لم تُفصح عن تفاصيل إضافية.

Citizen Lab يكشف التفاصيل: استهداف صحفيين ببرمجية تجسس "Graphite"

بحسب تحليل Citizen Lab، تم استخدام الثغرة لاستهداف الصحفي الإيطالي Ciro Pellegrino وصحفي أوروبي بارز لم يُكشف اسمه، عبر برمجية التجسس Graphite التابعة لشركة Paragon الإسرائيلية.

ووصف الباحثان بيل مارزاك وجون سكوت-رايلتون الهجوم بأنه من نوع "صفر نقرات"، أي لا يتطلب أي تفاعل من الضحية، وقد وقع في يناير وأوائل فبراير 2025، على أجهزة تعمل بنظام iOS 18.2.1.

تلقى الصحفيان إشعارات من Apple في 29 أبريل 2025 تُفيد أنهما كانا مستهدفين بواسطة برمجيات تجسس متقدمة، ضمن نظام تنبيهات Apple الذي أُطلق منذ نوفمبر 2021 للتعامل مع الهجمات المدعومة من دول.

ما هي Graphite؟

Graphite هي أداة مراقبة متقدمة يمكنها الوصول إلى الرسائل، البريد الإلكتروني، الكاميرا، الميكروفون، وموقع الجهاز — وكل ذلك دون علم المستخدم. وتُستخدم عادةً من قبل جهات حكومية لأغراض أمنية.

أوضح التقرير أن الضحيتين استُهدفتا برسائل iMessage قادمة من حساب Apple واحد يُعتقد أنه مرتبط بعميل واحد لدى Paragon ويُعرف داخل التحقيقات باسم "ATTACKER1".

خلفية القصة: فضيحة أوسع بدأت في يناير

جاء هذا التطور ضمن فضيحة بدأت في يناير 2025، حين كشفت WhatsApp أن برمجية Graphite استُخدمت ضد عشرات المستخدمين، من ضمنهم الصحفي Francesco Cancellato، زميل Pellegrino.

أعلنت Paragon لاحقًا إلغاء عقودها مع الحكومة الإيطالية، بعد رفض الأخيرة التعاون للتحقق مما إذا كانت قد استخدمت الأداة ضد صحفيين، وهو ما نفته الحكومة مؤكدة أن الإلغاء كان قرارًا مشتركًا بسبب "أسباب تتعلق بالأمن القومي".

تقرير لجنة COPASIR الإيطالية أكد أن أجهزة المخابرات استخدمت Graphite ضد عدد محدود من الأهداف بعد موافقة قانونية، ولم يكن هاتف Cancellato من بينها، مما يترك التساؤلات مفتوحة حول الجهة التي استهدفته.

كيف تعمل بنية Paragon؟

أوضح التقرير أن تشغيل Graphite يتطلب تسجيل دخول باسم مستخدم وكلمة مرور. وتُخزن سجلات الاستخدام في خوادم يتحكم بها العميل، وليست لدى Paragon إمكانية الوصول لها — مما يفتح تساؤلات حول غياب المحاسبة والشفافية.

قالت Citizen Lab: "غياب المساءلة يُبرز مدى خطورة هذا النوع من التهديد الرقمي، خاصة ضد الصحفيين في أوروبا، ويدق ناقوس الخطر بشأن إساءة استخدام أدوات التجسس."

رد فعل الاتحاد الأوروبي

الاتحاد الأوروبي كان قد عبّر سابقًا عن قلقه بشأن الاستخدام غير المنضبط لبرمجيات التجسس التجارية، ودعا لتشديد الضوابط القانونية والتصديرية — وقضايا كهذه قد تُسرّع وتيرة الإصلاحات.

كيف تعمل تحذيرات Apple؟

أوضحت Apple أن نظام التنبيهات يعتمد على معلومات استخباراتية داخلية، وقد لا يرصد جميع الهجمات. كما أن استلام تحذير لا يعني بالضرورة أن الجهاز مصاب، بل أنه وُجد نشاط غير معتاد يُشير إلى استهداف.

عودة برمجية Predator

في الوقت نفسه، كشفت مجموعة Insikt التابعة لشركة Recorded Future عن "عودة نشاط" لبرمجية Predator بعد شهور من العقوبات الأمريكية ضد شركة Intellexa ومزوديها.

وقد تم رصد خوادم جديدة مخصصة للضحايا، وزبائن جدد مثل موزمبيق، إضافة إلى روابط مع شركة FoxITech التشيكية المرتبطة سابقًا باتحاد Intellexa.

شملت عمليات Predator دولًا متعددة خلال العامين الماضيين، مثل: أنغولا، أرمينيا، بوتسوانا، مصر، إندونيسيا، كازاخستان، السعودية، الفلبين، موزمبيق، وغيرها.

قال الباحثون: "يشير نشاط Predator في إفريقيا إلى ارتفاع الطلب على أدوات التجسس، خاصة في الدول التي تواجه قيود تصدير، إضافةً إلى تحايلات هيكلية تعيق فرض العقوبات."

خلاصة المقال

الهجمات الأخيرة تُظهر خطورة أدوات التجسس التجارية على الحريات والصحافة، في ظل استمرار استغلال ثغرات صفرية، واستهداف الصحفيين دون علمهم. من الواضح أن أدوات مثل Graphite وPredator ليست مجرد أدوات استخباراتية بل أصبحت تهديدًا لخصوصية المدنيين، ما يستدعي تحركًا قانونيًا عاجلًا.