• واتساب يصلح ثغرة خطيرة استُغلت لاختراق أجهزة Apple دون أي تفاعل من المستخدم.
  • الهجوم اعتمد على ثغرتين مترابطتين في واتساب وApple.
  • حملة تجسس zero-click استهدفت عشرات المستخدمين خلال 90 يوما.
  • الغموض يحيط بالجهة المسؤولة وسط مخاوف حقوقية متزايدة.

أعلنت شركة واتساب أنها قامت بإصلاح ثغرة أمنية بالغة الخطورة في تطبيقها على أنظمة iOS وأجهزة Mac، بعد أن استغلها مهاجمون لاختراق بعض أجهزة مستخدمي Apple.

استُغلت الثغرة التي تم تسجيلها تحت الرمز CVE-2025-55177 مع ثغرة أخرى موجودة في أنظمة Apple وتحمل الرمز CVE-2025-43300، والتي قامت Apple بإصلاحها قبل أيام قليلة.

وقد كشف هذا الترابط بين ثغرتين منفصلتين عن مستوى جديد من التعقيد في عالم الهجمات السيبرانية، حيث لم يعد المهاجمون يعتمدون على ثغرة واحدة بل يجمعون بين أكثر من خلل لتحقيق هدفهم.

هجوم متقدم لا يحتاج أي نقرة

أوضحت Apple أن هذه الثغرة استُخدمت في هجوم بالغ التطور استهدف أفرادا معينين فقط. ومع توالي التحقيقات، اتضح أن العشرات من مستخدمي واتساب وقعوا ضحية لهذه الحملة المعقدة.

وأكد Donncha Ó Cearbhaill، رئيس مختبر الأمن في Amnesty International، أن هذه الحملة جرت خلال التسعين يوما الماضية منذ أواخر شهر مايو. ما يجعل هذه الهجمة أكثر خطورة هو أنها من نوع zero-click، أي أنها لا تتطلب أي تفاعل من الضحية مثل النقر على رابط أو فتح ملف مرفق.

فقط يكفي أن تصل البيانات الخبيثة إلى الجهاز حتى تتم عملية الاختراق بشكل صامت. يمثل هذا النوع من الهجمات تحديًا هائلًا لمطوري التطبيقات لأنه يتجاوز تماما وعي المستخدم أو قدرته على الحذر.

استهداف مباشر لسرقة البيانات

سمحت هذه السلسلة من الثغرات للمهاجمين بإرسال شيفرة خبيثة عبر تطبيق واتساب، تمكنت من الوصول إلى بيانات بالغة الحساسية داخل أجهزة Apple.
ووفقًا لنسخ من الإشعارات التي أرسلتها الشركة للمستخدمين المستهدفين، فإن الهجوم مكَّن المخترقين من الوصول إلى محتويات الرسائل والملفات وربما بيانات أخرى محفوظة على الجهاز.

يعني هذا النوع من الاختراق أن الضحية قد لا يلاحظ أي تغييرات على جهازه، بينما تكون بياناته ورسائله تحت مراقبة كاملة. ومثل هذه الهجمات تقوِّض الثقة في أحد أكثر التطبيقات استخدامًا، وتجعل فكرة الأمان المطلق في العالم الرقمي بعيدة المنال.

غموض حول الجهة المسؤولة

لم تعلن واتساب ولا Apple عن الجهة التي تقف وراء هذه الهجمات. ورغم تزايد الشكوك حول شركات برمجيات التجسس أو جهات حكومية، إلا أنه  لم يظهر أي دليل مباشر بعد.

وقد أكدت المتحدثة باسم واتساب، مارجريتا فرانكلين، أن الفريق الأمني اكتشف الخلل قبل أسابيع وأصلحه فورا، كما أرسلت الشركة إشعارات إلى أقل من مائتي مستخدم تضرروا من هذه الحملة. لكنها رفضت تأكيد وجود أدلة تثبت تورط شركة أو جهة معينة.

تاريخ طويل من المواجهات مع برمجيات التجسس

لم تكن هذه أول مرة يجد واتساب نفسه في مواجهة مع برمجيات التجسس. ففي عام 2019 واجه التطبيق حملة ضخمة شنتها شركة NSO Group الإسرائيلية باستخدام برنامجها الشهير Pegasus.

آنذاك تم اختراق أكثر من 1400 جهاز حول العالم. ولاحقًا رفعت واتساب دعوى قضائية ضد الشركة بحجة انتهاك قوانين القرصنة الأمريكية وانتهاك شروط الخدمة، وانتهت القضية هذا العام بحكم قضائي أمريكي يلزم NSO بدفع 167 مليون دولار كتعويضات.

وقد كانت هذه السابقة القانونية خطوة مهمة لأنها أظهرت أن الشركات التقنية الكبرى بدأت تلجأ إلى القضاء لمواجهة شركات التجسس بدلا من الاقتصار على الحلول التقنية.

خطورة الهجمات الصامتة

تكمن خطورة هجمات zero-click في أنها لا تعطي أي إشارة للمستخدم. فبينما يظل الجهاز يعمل بشكل طبيعي، يتم استنزاف بياناته في الخفاء.

وهذا يطرح تحديًا كبيرًا أمام الشركات الأمنية، لأن الحل لا يمكن أن يأتي من توعية المستخدم فقط، بل من تطوير أنظمة حماية أعمق قادرة على رصد هذه الاختراقات حتى عندما لا تكون مرئية.

كما أن هذه الهجمات تثير قلقًا متزايدًا في الأوساط الحقوقية، لأنها غالبًا ما تستهدف نشطاء وصحفيين وأفرادًا يعملون في مجالات حساسة. وهنا يتحول التجسس الرقمي من مجرد قضية أمنية إلى قضية حقوقية تمس حرية التعبير وحق الأفراد في الخصوصية.

دروس من الحادثة الأخيرة

يكشف إصلاح واتساب الأخير عن تصاعد مستمر في التهديدات الرقمية. ويمكن القول إن الدرس الأهم من هذه الحادثة هو أن التطبيقات، مهما بلغت من شهرة أو امتلكت من أنظمة حماية متطورة، تظل معرضة للتحول إلى منفذ للتجسس ما لم تُكتشف ثغراتها وتعالج بسرعة.

كما أن الحادثة تُبرز الحاجة إلى تشريعات دولية أقوى تنظم عمل شركات برمجيات التجسس وتمنع استخدامها ضد المدنيين. وفي نهاية المطاف، تبقى هذه الحوادث جزءًا من معركة مستمرة بين مطوري التطبيقات الذين يسعون لحماية المستخدمين، وبين جهات تملك المال والخبرة لاستغلال الثغرات وتحويلها إلى أدوات مراقبة.

وبين هذا وذاك، يظل المستخدم العادي الحلقة الأضعف الذي يحتاج إلى تحديثات مستمرة وثقة أكبر في أن الشركات التقنية تقف إلى جانبه.