واتس‌اپ میزبان Zero Click Attack شد

چند روزی است که ماجرای هک روزنامه‌نگارانی در سرتاسر جهان از طریق پیام‌رسان واتس‌اپ بر سر زبان‌ها افتاده‌است؛ حملاتی به روش Zero click و با کمک جاسوس‌افزارهای شرکت اسرائیلی پاراگون سولوشنز.

به گزارش افتانا، روزنامه گاردین خبر داد که در واپسین روز ژانویه 2025، واتس‌اپ، زیرمجموعه شرکت متا، اعلام کرد نزدیک به 90 کاربر، از جمله روزنامه‌نگاران و اعضای جامعه مدنی، در حدود 24 کشور هدف حمله جاسوس‌افزاری قرار گرفته‌اند. گفته می‌شود که این حمله توسط جاسوس‌افزار شرکت اسرائیلی پاراگون سولوشنز (Paragon Solutions) انجام شده است.

این حمله از طریق ارسال فایل‌های PDF آلوده به کدهای مخرب صورت گرفته است. این روش به‌عنوان حمله «بدون کلیک» (Zero click) شناخته می‌شود، زیرا برای نفوذ به دستگاه قربانی نیازی به تعامل یا کلیک کاربر ندارد. رویترز در این مورد نوشت که واتس‌اپ با شناسایی و خنثی‌سازی این حمله، به کاربران آسیب‌دیده اطلاع‌رسانی کرده و به پاراگون سولوشنز، دستور توقف فعالیت‌های مخرب را ارسال کرده است.

از طرفی پاراگون سولوشنز، که اخیراً توسط شرکت AE Industrial Partners خریداری شده است، ادعا می‌کند که به دولت‌های دموکراتیک خدمات ارائه می‌دهد و از فروش محصولات خود به کشورهایی با سابقه سوءاستفاده از جاسوس‌افزارها خودداری می‌کند. با این حال، این حادثه نگرانی‌هایی را در مورد استفاده از جاسوس‌افزارها علیه روزنامه‌نگاران و فعالان مدنی ایجاد کرده است.

اما حمله Zero click چیست
حمله صفر-کلیک (Zero-click attack) به گونه‌ای از حملات گفته می‌شود که در آن برای آلوده شدن دستگاه قربانی نیاز به هیچ‌گونه تعاملی از سوی کاربر وجود ندارد. معمولا، یک آلودگی ریموت با هدف‌گیری دستگاه تلفن همراه ، به نوعی مهندسی اجتماعی نیاز دارد. تشویق کاربر برای کلیک بر روی یک لینک مخرب یا نصب یک برنامه مخرب برای ارائه یک نقطه ورود به مهاجم انجام می‌شود. اما در حملات صفر کلیک ، به طور کامل نیاز به مهندسی اجتماعی حذف می‌شود.

به این نوع حملات، حملات کاملا از راه دور (Fully remote) یا بدون تعامل (Interaction-less) نیز گفته می‌شود. برای موفقیت حمله های Zero-click حتی لازم نیست کاربر روی لینکی در یک ایمیل کلیک کند، یک حافظه USB آلوده را به دستگاه متصل کند یا فایلی مخرب را دانلود و اجرا نماید. در واقع تمام فرایند یک حمله صفر-کلیک بدون نیاز به هرگونه تعامل یا کلیک کاربر انجام می‌شود.

پیام‌رسان‌ها، اپلیکیشن‌های ارسال و دریافت ایمیل، پیام کوتاه یا پیام چندرسانه‌ای بستر مناسبی برای حملات صفر-کلیک به شمار می‌روند. این نوع حمله در رایج‌ترین سناریو تنها با ارسال یک پیام یا تماس صوتی حاوی محتوایی خاص انجام می‌شود. از آنجایی که این اپلیکیشن‌ها معمولا داده‌های پیام دریافتی از سوی هر مخاطبی (حتی افراد ناشناس) را پردازش و تفسیر می‌کنند گزینه مناسبی برای تحقق حملات Zero-click هستند. با توجه به اینکه در حملات Zero-click نیازی به تعامل کاربر وجود ندارد این نوع حملات اغلب موفق هستند. درست برخلاف حملات عادی که در آن‌ها آگاهی یا هوشمندی کاربر ممکن است مانع از موفقیت حمله شود.

آیا می‌توان از حملات Zero click در امان ماند؟
کارشناسان امنیت سایبری نگرانی‌های جدی درباره حملات اخیر به کاربران واتس‌اپ، به‌ویژه روزنامه‌نگاران و فعالان مدنی، ابراز کرده‌اند. کارشناسان تأکید می‌کنند که گسترش بی‌رویه این فناوری‌ها و استفاده از آن‌ها علیه روزنامه‌نگاران، فعالان و سیاستمداران مخالف، تهدیدی جدی برای آزادی بیان و حریم خصوصی محسوب می‌شود و خواستار نظارت و مقررات سخت‌گیرانه‌تری برای کنترل فروش و استفاده از این ابزارهای جاسوسی پیشرفته هستند.

یکی از نگرانی‌های اصلی، استفاده از حملات «صفر کلیک» (Zero click) است که در آن‌ها نیازی به تعامل کاربر برای نفوذ به دستگاه نیست. این نوع حملات از این رو، خطرناک هستند که کاربران ممکن است بدون هیچ‌گونه آگاهی یا اقدامی، هدف آن قرار بگیرند.

متخصصان امنیتی توصیه می‌کنند که کاربران با به‌روزرسانی منظم نرم‌افزارها و سیستم‌عامل‌های خود و استفاده از ابزارهای امنیتی معتبر، سطح حفاظت خود را افزایش دهند. با این حال، آن‌ها اذعان دارند که در برابر حملات پیشرفته‌ای مانند حملات صفر کلیک، حتی این اقدامات ممکن است کافی نباشد و نیاز به راهکارهای امنیتی نوین و همکاری بین‌المللی برای مقابله با این تهدیدات وجود دارد.

مقابله با حملات صفر کلیک معمولا کار ساده‌ای نیست. در واقع لازم نیست کاربر هیچ عملی انجام دهد یا اشتباهی امنیتی مرتکب شود تا به موفقیت حمله کمک کند. از طرف دیگر فرد مهاجم نیز نیازی به استفاده از مهندسی اجتماعی برای قانع کردن قربانی جهت کلیک روی لینک و … نخواهد داشت. بخش عمده مسئولیت مقابله با این نوع حملات بر عهده تولیدکنندگان اپلیکیشن‌ها و پلتفرم‌های اجرای آن‌هاست. پیشگیری از آسیب‌پذیری‌ها، ارائه به‌روزرسانی‌های مناسب و کاهش دسترسی‌های موردنیاز اپلیکیشن‌ها از جمله اقداماتی است که لازم است مورد توجه توسعه‌دهندگان قرار گیرد.

واتس‌اپ قبلا هم قربانی Zero click شده بود
پیش از این نیز آسیب‌پذیری واتس‌اپ در سال 2019 بسترساز حمله صفر کلیک شده بود. این آسیب‌پذیری اجازه می‌داد فرد مهاجم با یک تماس صوتی، کد مخرب خود را در دستگاه قربانی اجرا کند. این حمله به راحتی امکان جاسوسی از قربانی و دسترسی به پیام‌های دستگاه را بدون اطلاع فرد فراهم می‌کرد.

این نقض با یک تماس از دست رفته ایجاد می‌شد که از آسیب‌پذیری در چارچوب سورس کد WhatsApp بهره برداری می‌کرد. یک اکسپلویت روز صفر، یعنی آسیب‌پذیری سایبری ناشناخته و بدون استفاده به مهاجم اجازه می‌داد تا جاسوس‌افزار را در داده‌های ردو بدل شده بین دو دستگاه به دلیل تماس از دست رفته بارگیری کند. پس از بارگیری، نرم‌افزار جاسوسی، خود را به عنوان یک منبع پس‌زمینه، در اعماق چارچوب نرم افزار دستگاه فعال می‌کرد.