تخيّل أنك تحتسي قهوتك الصباحية وتتصفح رسائلك، وفجأة يرسل لك صديق صورة. تفتحها بلا تفكير — مجرد صورة عادية. لكن خلف هذه الصورة قد يختبئ متسلل صامت، يتجاوز دفاعات Apple ويتسلل إلى جهازك. لا نقر، لا تحميل، ولا روابط مشبوهة — مجرد صورة واحدة تكفي.
هذه هي الحقيقة المقلقة وراء أحدث ثغرة يوم الصفر التي كشفتها Apple، والتي دفعت وكالة الأمن السيبراني وحماية البنية التحتية الأميركية (CISA) إلى إصدار أمر عاجل للجهات الحكومية بترقيعها فورًا. حصلت هذه الثغرة على تقييم خطورة 8.8 من 10، ما يجعلها أكثر من مجرد خلل تقني. إنها فصل جديد في لعبة القط والفأر بين القراصنة وشركات التقنية، وتذكير بمدى هشاشة أماننا الرقمي في عام 2025.
ماذا حدث بالضبط؟
أصدرت CISA توجيهًا يُلزم الوكالات الفيدرالية بترقية أجهزتها قبل 11 سبتمبر 2025. الثغرة، والمعروفة باسم CVE-2025-43300، موجودة داخل إطار عمل ImageIO — النظام المسؤول عن معالجة الصور على أنظمة iOS و iPadOS و macOS.
الخطير في الأمر أنها ثغرة بلا نقر (Zero-Click). لا تحتاج إلى فتح رابط مريب أو تنزيل ملف غريب. مجرد استلام صورة خبيثة — سواء عبر رسالة أو بريد إلكتروني أو حتى من موقع ويب — قد يكون كافيًا لاختراق جهاز Apple الخاص بك.
ثغرة Apple يوم الصفر 2025
لماذا أصبحت الصور السلاح الجديد؟
المهاجمون يتطورون بسرعة. فبحسب الباحث الأمني “إيدان هولاند”، شددت Apple دفاعاتها ضد الروابط من المرسلين المجهولين، مما جعل التصيد التقليدي أصعب. فغيّر القراصنة أسلوبهم: بدلاً من إقناعك بالنقر، بدأوا يخفون الشيفرات الخبيثة داخل ملفات الصور.
والفكرة ذكية — لأن الصور في كل مكان. نشاركها يوميًا في المحادثات، رسائل البريد، وحتى في بيئة العمل. ومعظمنا لا يتصور أن صورة عادية قد تتحول إلى حصان طروادة.
من يقف خلف هذه الهجمات؟
Apple لم تكشف الكثير، لكن خبراء الأمن يشيرون إلى شركات تجارية متخصصة في برمجيات التجسس — تبيع ثغرات متقدمة للحكومات وجهات خاصة. هؤلاء ليسوا هواة، بل جهات تملك تمويلاً كبيرًا وخبرة واسعة.
سبق أن شهدنا ذلك في 2023، مع استغلال سلسلة BLASTPASS لنفس إطار عمل ImageIO، حيث استُخدمت لنشر برنامج التجسس Pegasus الشهير من مجموعة NSO، والذي استُغل من قِبل بعض الحكومات لمراقبة الصحفيين والنشطاء والمعارضين السياسيين. واليوم يبدو أن CVE-2025-43300 يعيد السيناريو ذاته.
هل يجب أن يقلق المستخدم العادي؟
الخبر الجيد أن الهجمات حتى الآن تبدو موجهة بدقة. حتى أن Apple استخدمت عبارة “هجوم بالغ التعقيد يستهدف أفرادًا محددين” — وهي صياغة نادرة في إعلاناتها الأمنية. هذا يعني أن الاستهداف يتركز على شخصيات بارزة، وليس على عامة المستخدمين.
لكن — وهذا الأهم — ثغرات يوم الصفر لا تبقى حكرًا طويلًا. بمجرد الكشف عنها، تنتشر المعرفة ويزداد خطر التقليد. وحتى إن لم تكن هدفًا مباشرًا، فإن الخيار الأكثر أمانًا هو التعامل مع الأمر بجدية.
ما الذي يجب فعله الآن؟
حدّث أجهزتك فورًا. سواء كنت تستخدم iPhone أو iPad أو Mac، نزّل أحدث تحديث أمني من Apple.
توخَّ الحذر مع الصور. لا تفتح ملفات من مصادر مجهولة حتى وإن بدت طبيعية.
للشركات: ذكّر الموظفين بعدم تحميل ملفات عشوائية، وراجع سياسات مشاركة الملفات. خطأ واحد كفيل بفتح الباب أمام مهاجم.
الصورة الأشمل: الأمن السيبراني في 2025
صعود الثغرات بلا نقر يغيّر قواعد اللعبة. فهي تتجاوز العلامات التحذيرية المعتادة — بلا روابط مشبوهة ولا تحميلات غريبة — ما يجعل اكتشافها أصعب والدفاع ضدها أعقد. بالنسبة للأفراد، الرسالة واضحة: التحديثات من Apple لم تعد خيارًا، بل ضرورة.
أما بالنسبة للمؤسسات، فالرسالة أوسع: الأمن السيبراني لا يقتصر على التكنولوجيا، بل يشمل الوعي أيضًا. إذا كان المهاجم قادرًا على استغلال صورة عابرة، فإن التدريب المستمر والترقيع الفوري والاستباقية في الدفاع لم تعد رفاهية.
وعلى مستوى أعلى، يثير هذا الحادث النقاش حول تكنولوجيا المراقبة. إذا كانت ثغرات يوم الصفر تُباع وتُخزن لدى الحكومات، فكيف نوازن بين الأمن القومي، وخصوصية الأفراد، وحقوق الإنسان في عالم يمكن أن تتحول فيه صورة واحدة إلى سلاح؟
الأسئلة الشائعة
ما هي CVE-2025-43300؟
هي ثغرة يوم الصفر في إطار عمل ImageIO لدى Apple تسمح باختراق الأجهزة من خلال صور خبيثة.
لماذا تعتبر خطيرة؟
لأنها “بلا نقر” — لا تحتاج أي تفاعل. مجرد صورة تكفي لبدء الاختراق.
ما هي الأجهزة المتأثرة؟
iPhone و iPad و Mac قبل تثبيت التحديث الأمني الأخير من Apple.
من الأكثر عرضة للخطر؟
أهداف بارزة مثل الصحفيين والسياسيين والمديرين التنفيذيين. لكن أي جهاز غير محدَّث يبقى معرضًا.
كيف أحمي نفسي؟
قم بتحديث أجهزتك فورًا وتجنب فتح الصور أو الملفات من مصادر مجهولة.
