iOS’da jiddiy zaiflik aniqlandi: Bir qator kod bilan iPhone’ni ishdan chiqarish mumkin
Bugungi kunda smartfonlar hayotimizning ajralmas qismiga aylandi. Ular nafaqat aloqa vositasi, balki shaxsiy ma’lumotlarimiz, moliyaviy tranzaksiyalarimiz va hatto ish jarayonlarimizning asosiy tayanchi hisoblanadi. Ammo bu qurilmalar qanchalik ilg‘or bo‘lmasin, ularni himoya qiluvchi operatsion tizimlardagi zaifliklar kiberjinoyatchilar uchun yo‘l ochib berishi mumkin. Yaqinda aniqlangan iOS’dagi CVE-2025-24091 raqamli zaiflik ana shunday xavfli holatlardan biridir. Ushbu zaiflik bir qator kod yordamida iPhone va iPad qurilmalarini butunlay ishlamay qoldirishi – ya’ni “brick” holatiga keltirishi mumkin.
Apple’ning iOS operatsion tizimi o‘zining mustahkamligi va xavfsizligi bilan mashhur bo‘lsa-da, uning past darajali qatlamlarida joylashgan eski API’lar ba’zida xavfli bo‘shliqlarni yashiradi. CVE-2025-24091 zaifligi iOS’ning Darwin xabarnomalari tizimi (Darwin Notifications) deb atalgan mexanizmida aniqlangan. Bu tizim Apple operatsion tizimlarining asosiy qatlamida – CoreOS’da joylashgan bo‘lib, jarayonlar o‘rtasida tizim bo‘yicha oddiy xabar almashish imkonini beradi.
Tadqiqotchi Guilherme Ramboning so‘zlariga ko‘ra, “Darwin xabarnomalari NSNotificationCenter yoki NSDistributedNotificationCenter kabi tizimlardan farqli o‘laroq, ancha sodda va past darajali mexanizm sifatida ishlaydi. U Apple operatsion tizimlarida jarayonlar o‘rtasida xabar almashish uchun ishlatiladi”. Ammo bu soddalik xavfli nuqsonni keltirib chiqardi: har qanday iOS ilovasi maxsus ruxsatlarsiz (entitlements) muhim tizim darajasidagi Darwin xabarnomalarini yuborishi mumkin edi. Eng xavfli jihati shundaki, bu xabarnomalar “tiklash jarayoni boshlandi” (Restore in Progress) kabi muhim tizim funksiyalarini faollashtirishi mumkin.
Ushbu zaiflikni ekspluatatsiya qilish hayratlanarli darajada oddiy: faqat bir qator kod qurilmani ishlamay qoladigan holatga keltirishi mumkin. Tadqiqotchi “VeryEvilNotify” deb nomlangan kontseptual hujum (proof-of-concept) yaratdi, unda ushbu kod vidjet kengaytmasi (widget extension) ichida ishlatilgan. Kod quyidagicha ishlaydi:
// Zararli kod namunasi (xavfsizlik maqsadida umumlashtirilgan)
notify_post(«com.apple.mobile.softwareupdated.restore»);
Ushbu kod qurilmani “tiklash jarayoni boshlandi” holatiga majburan o‘tkazadi. Ammo haqiqiy tiklash jarayoni yo‘qligi sababli, tizim muvaffaqiyatsizlikka uchraydi va foydalanuvchidan qurilmani qayta ishga tushirishni talab qiladi. Vidjet kengaytmalari iOS tomonidan fon rejimida vaqtincha faollashtirilishi tufayli, zararli kod har bir qayta yuklashdan so‘ng takrorlanib, qurilmani cheksiz qayta yuklash tsikliga tushiradi. Natijada, qurilma butunlay ishlamay qoladi va uni faqat to‘liq tizimni tiklash orqali qayta ishga tushirish mumkin.
Tadqiqotchi qayd etishicha, “Vidjet kengaytmalari tizimda keng tarqalganligi sababli, yangi ilova o‘rnatilganda yoki ishga tushirilganda, iOS ushbu vidjetni faollashtirishga shoshiladi. Bu esa zararli kodni avtomatik ravishda ishga tushirish imkonini beradi”.
Ushbu zaiflikning xavfli tomonlari quyidagicha:
- Ta’sir qiluvchi qurilmalar: iOS 18.3’dan oldingi versiyalarda ishlaydigan barcha iPhone va iPad qurilmalari.
- Ta’sir turi: Xizmatdan voz kechish (Denial of Service, DoS), ya’ni qurilma butunlay ishlamay qolishi.
- Ekspluatatsiya shartlari: Har qanday sandbox ichida ishlaydigan ilova yoki vidjet kengaytmasi maxsus ruxsatlarsiz bu zaiflikni ishga tushirishi mumkin.
- CVSS 3.1 reytingi: Yuqori (xavf darajasi jiddiy).
Zaiflikning eng xavfli jihati shundaki, u App Store yoki boshqa tarqatish kanallari orqali tarqatilgan, ko‘rinishda begunoh bo‘lib ko‘ringan ilovalar tomonidan ishga tushirilishi mumkin. Masalan, zararli kod o‘yin ilovasi yoki ijtimoiy tarmoq vidjeti ichiga yashirincha joylashtirilishi mumkin.
Apple ushbu zaiflikni iOS 18.3 versiyasida bartaraf etdi. Kompaniya muhim Darwin xabarnomalari uchun yangi ruxsatlar tizimini joriy qildi. Endilikda bunday xabarnomalar “com.apple.private.restrict-post.” prefiksi bilan yuborilishi va yuboruvchi jarayon “com.apple.private.darwin-notification.restrict-post.” kabi maxsus ruxsatlarga ega bo‘lishi shart.
Tadqiqotchi Guilherme Rambo ushbu zaiflikni aniqlagani uchun Apple tomonidan 17,500 AQSh dollari miqdorida mukofot bilan taqdirlandi. Bu Apple’ning xavfsizlik tadqiqotchilari bilan hamkorlik qilishga sodiqligini ko‘rsatadi.
Bundan oldin ham Apple tizimlarida Darwin bilan bog‘liq zaifliklar aniqlangan edi. Masalan, Kaspersky Lab tomonidan aniqlangan “Darwin Nuke” zaifligi maxsus tayyorlangan tarmoq paketlari orqali xizmatdan voz kechish hujumlarini amalga oshirishga imkon bergan edi. Bu holat Apple’ning eski API’larni xavfsiz qilishda doimiy e’tibor talab qilinishini ko‘rsatadi.
Barcha iPhone va iPad foydalanuvchilariga darhol iOS 18.3 yoki undan yangi versiyaga yangilash qat’iy tavsiya qilinadi. Oldingi versiyalarda ishlaydigan qurilmalar ushbu hujumga qarshi himoyasiz qolmoqda. Yangilash jarayoni oddiy va quyidagi bosqichlar orqali amalga oshiriladi:
- Sozlamalar ilovasini oching.
- Umumiy → Dasturiy ta’minot yangilanishi bo‘limiga o‘ting.
- iOS 18.3 yoki undan yangi versiyani yuklab oling va o‘rnating.
Bundan tashqari, foydalanuvchilarga quyidagi ehtiyot choralarini ko‘rish tavsiya qilinadi:
- Ishonchsiz ilovalardan saqlaning: Faqat App Store’dan tasdiqlangan ilovalarni o‘rnating va noma’lum manbalardan ilovalarni yuklamang.
- Vidjetlarni ehtiyotkorlik bilan tanlang: Ko‘pincha vidjetlar fon rejimida ishlaydi va zararli kodni yashirincha faollashtirishi mumkin.
- Tizim faoliyatini kuzating: Agar qurilmangiz g‘ayrioddiy qayta yuklanishlar yoki xatolarga duch kelsa, darhol Apple qo‘llab-quvvatlash xizmatiga murojaat qiling.
O‘zbekistonda iPhone foydalanuvchilari soni yildan-yilga o‘sib bormoqda, ayniqsa yoshlar va biznes vakillari orasida. Ushbu zaiflik O‘zbekiston foydalanuvchilari uchun ham jiddiy xavf tug‘diradi, chunki kiberjinoyatchilar global miqyosda faoliyat yuritadi. Quyidagi qo‘shimcha choralar mahalliy kontekstda foydali bo‘ladi:
- Mahalliy ilovalarni tekshirish: O‘zbekistonda ishlab chiqilgan yoki tarqatiladigan ilovalar o‘rnatilganda ularning ishonchliligini tekshiring. Masalan, Telegram orqali tarqatiladigan noma’lum ilovalar yoki vidjetlardan saqlaning.
- Xavfsizlik haqida xabardorlik: O‘zbek tilida kiberxavfsizlik bo‘yicha ma’lumotlarni Telegram kanallari (masalan, “#KiberXavfsizlik” yoki “#XavfsizInternet” hashtag’lari) orqali kuzatib boring.
- Zaxira nusxasini saqlang: iCloud yoki kompyuteringiz orqali muntazam ravishda ma’lumotlaringizning zaxira nusxasini yaratib turing. Agar qurilma ishlamay qolsa, bu ma’lumotlarni tiklashda yordam beradi.
Ushbu zaiflik mobil operatsion tizimlarning xavfsizligi sohasida doimiy e’tibor talab qiladigan muammolarni yana bir bor ko‘rsatdi. Hatto Apple kabi gigant kompaniyalar ham eski API’lar yoki noto‘g‘ri sozlamalar tufayli xavf ostida qolishi mumkin. Bu holat nafaqat foydalanuvchilar, balki dastur ishlab chiqaruvchilar uchun ham ogohlantirish bo‘lib xizmat qiladi.
O‘zbekistonning rivojlanayotgan IT bozorida bunday zaifliklar kiberxavfsizlik madaniyatini rivojlantirish zarurligini ta’kidlaydi. Mahalliy kompaniyalar va foydalanuvchilar xavfsizlik yangilanishlarini o‘z vaqtida o‘rnatish, shubhali ilovalardan qochish va kiberxavfsizlik bo‘yicha bilimlarini oshirish orqali o‘zlarini himoya qilishlari mumkin.
CVE-2025-24091 zaifligi iOS qurilmalarining xavfsizligidagi jiddiy bo‘shliqni ko‘rsatdi. Bir qator kod yordamida qurilmani ishlamay qoldirish imkoniyati kiberxavfsizlik sohasida doimiy hushyorlik zarurligini eslatadi. Apple ushbu muammoni iOS 18.3 orqali hal qilgan bo‘lsa-da, foydalanuvchilar o‘z qurilmalarini yangilash va ehtiyot choralarini ko‘rish orqali xavfsizliklarini ta’minlashlari kerak.
Kiberxavfsizlik – bu nafaqat texnologik masala, balki har bir foydalanuvchining mas’uliyatidir. O‘zbekistonda va butun dunyoda xavfsiz raqamli muhitni yaratish uchun bilim, ehtiyotkorlik va tezkor choralar muhim ahamiyatga ega. Agar sizda qo‘shimcha savollar bo‘lsa yoki iOS xavfsizligini mustahkamlash bo‘yicha maslahat kerak bo‘lsa, yozing – har bir qadamni batafsil tushuntiraman!
