عنوان: هشدار اپل درباره «حملهی بدافزار جاسوسی مزدورانه»؛ توسعهدهندهی اکسپلویت هدف قرار گرفت
خلاصه: یک توسعهدهنده که پیشتر روی توسعهی اکسپلویتها و بدافزارهای iOS برای شرکت امنیتی Trenchant کار میکرد، اعلام کرده است که پیام هشدار اپل مبنی بر «شناسایی حملهی بدافزار جاسوسی مزدورانه» را روی آیفون شخصیاش دریافت کرده است. این پرونده نه تنها نگرانیهای شخصی را نشان میدهد، بلکه بار دیگر موضوع سوءاستفاده از ابزارهای «صفر روزه» و بدافزارهای جاسوسی را در سطح گستردهتر مطرح میکند.
متن خبر:
اوایل سال جاری میلادی، یک توسعهدهنده که خواست نام واقعیاش فاش نشود، پس از دریافت پیامی روی آیفون شخصیاش دچار وحشت شد: «اپل شناسایی یک حملهی بدافزار جاسوسی مزدورانه را علیه آیفون شما اعلام کرده است.» منبع میگوید این فرد، که در گزارشها با نام مستعار «جی» یاد شده، تا چند ماه پیش در شرکت Trenchant روی کشف و توسعهی آسیبپذیریهای iOS و ابزارهای بهرهجویی (zero-day) کار میکرده است.
او میگوید پس از دریافت هشدار در تاریخ 5 مارس، تلفن را خاموش و برای مدتی کنار گذاشته و بلافاصله اقدام به خرید دستگاه جدید کرده است. به گفتهی او، پیام هشدار اپل باعث شد دچار استرس شدید و ترس از پیامدهای احتمالی شود؛ زیرا وقتی موضوع به این سطح برسد، دیگر نمیتوان مطمئن بود چه اتفاقی رخ داده یا چه اطلاعاتی بهدست مهاجمان افتاده است.
طبق گفتههای چند منبع مطلع، این مورد ممکن است اولین نمونه مستند از هدف قرار گرفتن خودِ سازندگان اکسپلویت و بدافزارهای جاسوسی باشد، اما منابع دیگر نیز اشاره کردهاند که در ماههای اخیر چندین توسعهدهنده و فعال در حوزه اکسپلویت و جاسوسافزار پیامهای مشابهی از اپل دریافت کردهاند. اپل برای اظهارنظر به درخواست رسانهها پاسخی نداده است.
چه چیزی را «اعلان تهدید اپل» نشان میدهد؟
اپل این نوع اطلاعرسانیها را زمانی ارسال میکند که شواهدی مبنی بر هدفگیری فرد توسط «بدافزار جاسوسی مزدورانه» وجود داشته باشد؛ بهعبارتی نرمافزاری پیچیده که معمولاً با بهرهگیری از آسیبپذیریهای صفر روزه و بهصورت مخفیانه و از راه دور روی دستگاه نصب میشود. توسعه و خرید این اکسپلویتها میتواند میلیونها دلار هزینه داشته باشد و اغلب ادعا میشود مشتریان آنها دولتها و سازمانهای مجاز هستند.
پیچیدگیهای فرایند بررسی دیجیتال
دو روز پس از دریافت هشدار، این توسعهدهنده به یک کارشناس جرمشناسی دیجیتال مراجعه کرد. بررسی اولیه نشانهای از آلودگی نشان نداد، اما کارشناس توصیه به انجام آنالیز عمیقتر و تهیهی بکاپ کامل دستگاه کرد؛ اقدامی که منبع از انجام آن خودداری کرد و همین موضوع مانع کشف دقیقتر شد. کارشناس نیز اعلام کرد در موارد اخیر گاهی هیچ اثری از حمله پیدا نمیشود یا ممکن است حمله تنها در مراحل ابتدایی متوقف شده باشد.
زمینهی داخلی و اتهامات شغلی
منبع معتقد است هشدار اپل میتواند مرتبط با شرایط جدایی او از Trenchant باشد. او پیش از دریافت هشدار، هنگام سفر به دفتر لندن شرکت، ناگهان به جلسه فراخوانده و به اتهام همزمانی کار در دو محل شغلی معلق شد؛ دستگاههای کاری او ضبط و مورد بررسی قرار گرفت و نهایتاً شرکت او را اخراج و با او تسویه حساب کرد. منابع سابق Trenchant این روایت را تأیید کرده و گفتهاند که او بهعنوان «مقصر» نشت احتمالی ابزارهای داخلی معرفی شده است، هرچند خود او اصرار دارد به ابزارهای مرتبط با مرورگر کروم دسترسی نداشته و تنها روی اکسپلویتهای iOS کار میکرده است.
سابقهی سوءاستفاده و نگرانیهای بینالمللی
سازندگان بدافزار و اکسپلویتها اغلب ادعا میکنند مشتریانشان تنها دولتها و نهادهای رسمی هستند، اما تحقیقات سازمانهایی مانند Citizen Lab و عفو بینالملل نشان دادهاند که این ابزارها بهکرات برای هدف قرار دادن روزنامهنگاران، مدافعان حقوق بشر و مخالفان سیاسی نیز استفاده شدهاند. پیشتر نیز در سالهای 2021 و 2023 مواردی از هدفگیری محققان امنیتی توسط بازیگران دولتی گزارش شده بود.
پیامدها و نیاز به شفافسازی
بدون انجام آنالیز جامع و یافتن ردپای بدافزار و منشأ آن، روشن نیست چه کسی یا با چه انگیزهای این توسعهدهنده را هدف قرار داده است. این پرونده نشان میدهد که گسترش بازار اکسپلویتها و بدافزارهای جاسوسی ریسک هدفگیری سازندگان و پژوهشگران این حوزه را نیز افزایش داده و لزوم شفافیت و بررسیهای مستقل را پررنگتر میکند.