Τον Ιούλιο του 2025, εντοπίστηκε η μεγαλύτερη μέχρι σήμερα εκστρατεία επιθέσεων εναντίον εγκαταστάσεων του Microsoft SharePoint Server. Οι επιθέσεις εκμεταλλεύονται δύο νέες, κρίσιμες ευπάθειες μηδενικής ημέρας (zero-day), αναγνωρισμένες ως CVE-2025-53770 (βαθμολογία CVSS 9.8) και CVE-2025-53771, που επιτρέπουν σε μη εξουσιοδοτημένους εισβολείς να εκτελέσουν απομακρυσμένα αυθαίρετο κώδικα (RCE) και να αποκτήσουν έλεγχο του εξυπηρετητή, συχνά πριν καν πραγματοποιηθεί αυθεντικοποίηση.

Ποιες εκδόσεις επηρεάζονται και πώς λειτουργεί η επίθεση

Οι ευπάθειες αφορούν αποκλειστικά τις on-premises εκδόσεις των SharePoint Server 2016, 2019 και Subscription Edition, ενώ το SharePoint Online (Microsoft 365) παραμένει ανεπηρέαστο.

Ο μηχανισμός επίθεσης βασίζεται στην τεχνική "ToolShell", που συνδυάζει την αποστολή μιας χειραγωγημένης POST αίτησης στο endpoint /ToolPane.aspx με ειδικό HTTP Referer, επιτρέποντας τη μεταφόρτωση κακόβουλων .aspx αρχείων. Οι εισβολείς χρησιμοποιούν αυτά τα αρχεία για να αποσπάσουν τα machine keys του SharePoint (ValidationKey & DecryptionKey). Με αυτά τα κλειδιά μπορούν να εκτελέσουν αυθαίρετες εντολές, ακόμη και μετά την εφαρμογή μελλοντικών ενημερώσεων, διατηρώντας πρόσβαση και επίμονα backdoors στο σύστημα.

Μαζική εκμετάλλευση και επιπτώσεις

Πάνω από 85 οργανισμοί έχουν ήδη εντοπιστεί ως θύματα, ανάμεσά τους αμερικανικές κυβερνητικές υπηρεσίες, ενεργειακοί πάροχοι, πανεπιστήμια και εταιρείες τεχνολογίας. Η επίθεση είναι πλήρως αυτοματοποιημένη, εκμεταλλεύεται εξ ορισμού ρυθμίσεις και έχει ως αποτέλεσμα την εξαγωγή διαπιστευτηρίων και κρυπτογραφικών κλειδιών, καθώς και την επέκταση της διείσδυσης σε άλλα συστήματα του δικτύου (lateral movement).

Οι ειδικοί επισημαίνουν ότι ο κίνδυνος είναι εξαιρετικά υψηλός, διότι ο εισβολέας μπορεί μέσω της παραβιασμένης πλατφόρμας να αποκτήσει πρόσβαση και σε συνδεδεμένες υπηρεσίες Microsoft, όπως Outlook, Teams και OneDrive, μεγιστοποιώντας τον κίνδυνο διαρροής δεδομένων και παραβίασης λογαριασμών.

Κατάσταση ενημερώσεων και άμεσες ενέργειες

Η Microsoft διέθεσε επειγόντως ενημερώσεις ασφαλείας για τις εκδόσεις SharePoint Server 2019 (KB5002754) και SharePoint Subscription Edition (KB5002768), οι οποίες κλείνουν αποτελεσματικά τις δύο νέες ευπάθειες. Ωστόσο, για το SharePoint Server 2016 δεν υπάρχει ακόμη διαθέσιμη ενημέρωση και οι διαχειριστές πρέπει να υιοθετήσουν άμεσα τα ακόλουθα μέτρα μετριασμού:

• Ενεργοποίηση AMSI (Antimalware Scan Interface) πλήρως, συνοδεία Defender AV ή ισοδύναμου αντιβιοτικού λογισμικού.
• Περιορισμός της δημόσιας πρόσβασης στον server, ιδίως εάν δεν δύναται να ενεργοποιηθεί το AMSI.
• Άμεση αλλαγή (rotation) των machine keys μετά την εφαρμογή ενημερώσεων ή ενεργοποίηση της προστασίας.
• Εντοπισμός και διαγραφή ύποπτων αρχείων (π.χ. spinstall0.aspx) στους καταλόγους του SharePoint.
• Συνεχής παρακολούθηση των IIS logs για ύποπτες κλήσεις POST προς /ToolPane.aspx με ασυνήθιστο "Referer"473.

Ανίχνευση παραβιάσεων & αντιμετώπιση

Παρουσία των αρχείων spinstall0.aspx ή περίεργων εντολών μέσω του χρήστη NT AUTHORITY\IUSR αποτελούν σημαντικούς δείκτες συμβιβασμού. Αν βρεθούν τέτοια traces, απαιτείται άμεση απομόνωση του server και εκτεταμένος έλεγχος για πιθανή πλευρική κίνηση προς άλλες υποδομές του οργανισμού.

---

Η κρίση ασφαλείας στο SharePoint υπογραμμίζει τόσο τη σημασία της άμεσης και προληπτικής ενημέρωσης, όσο και τη σοβαρότητα των απειλών που κινούνται πιο γρήγορα από τη βιομηχανία των patches. Η ταχύτατη κινητοποίηση των διαχειριστών και η εφαρμογή έκτακτων μέτρων προστασίας σε on-premises servers αποτελούν τη μοναδική ασπίδα ενάντια στην απώλεια δεδομένων και την αλυσιδωτή παραβίαση εταιρικών υπηρεσιών. Η δυνατότητα επίμονης παραβίασης, ακόμα και μετά από διόρθωση, φέρνει στο προσκήνιο την ανάγκη για ψήγματα zero trust και εκτενή παρακολούθηση ασφάλειας δικτύου σε πραγματικό χρόνο.

Η κλασική συμβουλή «ελέγξτε τη διεύθυνση του site» δεν αρκεί πλέον. Έρευνα της Malwarebytes αποκάλυψε τεχνική των λεγόμενων tech-support scammers που τους επιτρέπει να εισάγουν δικούς τους αριθμούς τηλεφωνικής υποστήριξης μέσα σε κανονικές σελίδες εταιρειών-κολοσσών, όπως Apple, Microsoft, HP, PayPal, Netflix και Bank of America. Το τέχνασμα ξεκινά με αγορασμένες διαφημίσεις Google Ads. Αν και το Google Ads δείχνει τον σωστό τομέα (π.χ. microsoft.com), οι επιτήδειοι προσθέτουν, δεξιά από το domain, αόρατες παραμέτρους URL. Όταν ο χρήστης πατήσει την διαφήμιση, φορτώνεται πράγματι η επίσημη σελίδα, όμως το embed query εμφανίζει στο πλαίσιο αναζήτησης ή σε άλλο ορατό σημείο έναν πλαστό αριθμό «υποστήριξης» που δεν ανήκει στην εταιρεία (Ars Technica).

Η επίθεση δεν στηρίζεται σε κακόβουλo κώδικα, αλλά σε ανεκτές λειτουργίες των ιστοσελίδων που δέχονται παραμέτρους αναζήτησης χωρίς επαλήθευση. Η Malwarebytes, που επλήγη προσωρινά, αναγκάστηκε να φιλτράρει τις ύποπτες παραμέτρους για να σταματήσει την κατάχρηση. Οι ανυποψίαστοι επισκέπτες, ιδίως όσοι έχουν προβλήματα όρασης ή βιάζονται, ενδέχεται να καλέσουν τον ψευδή αριθμό, παρέχοντας σε απατεώνες πρόσβαση σε προσωπικά ή οικονομικά δεδομένα, ή ακόμα και απομακρυσμένο έλεγχο του υπολογιστή τους.

Η Google απαιτεί από τους διαφημιζόμενους να εμφανίζουν το επίσημο domain, επιτρέποντας ωστόσο ελεύθερες παραμέτρους στο URL· αυτή η «ρωγμή» είναι που εκμεταλλεύεται η απάτη. Προς το παρόν, η Malwarebytes ενσωμάτωσε προειδοποιήσεις στον browser της, ενώ η εταιρεία συνιστά στους χρήστες να προτιμούν τα αποτελέσματα οργανικής αναζήτησης και να αποφεύγουν τα διαφημιστικά links όταν ψάχνουν στοιχεία επικοινωνίας.

Η επίθεση φωτίζει μια παράμετρο ασφάλειας που παραβλέπουμε: ακόμη και τα «καθαρά» domains μπορούν να φιλοξενήσουν παραπλανητικό περιεχόμενο όταν οι σελίδες τους αποδέχονται ανεξέλεγκτα ερωτήματα. Μέχρι οι πλατφόρμες να μπλοκάρουν συστηματικά τέτοιες καταχρήσεις, ο χρήστης καλείται να παραμένει καχύποπτος απέναντι στα νούμερα τηλεφώνου που εμφανίζονται «μαγικά» ακόμη και κάτω από το πιο αναγνωρίσιμο λογότυπο.

Στο φως ήρθε ότι περισσότερα από ένα εκατομμύριο μηνύματα δύο παραγόντων πιστοποίησης (2FA) που στάλθηκαν τον Ιούνιο 2023 διέρρευσαν μέσω της ελβετικής Fink Telecom Services, μιας άγνωστης στο ευρύ κοινό εταιρείας που λειτουργεί ως ενδιάμεσος διανομέας SMS. Τα μηνύματα περιείχαν τόσο τους κωδικούς μίας χρήσης όσο και μεταδεδομένα διαδρομής—πληροφορίες ικανές να χαρτογραφήσουν ποιος πάροχος έστειλε τι και σε ποιον. Η λίστα αποστολέων περιελάμβανε ονόματα-κολοσσούς όπως Amazon, Google, Meta, Snapchat, Tinder, Signal και WhatsApp (Bloomberg).

Η αποκάλυψη αναδεικνύει το διαχρονικό πρόβλημα του SMS ως φορέα ευαίσθητων κωδικών: σχεδόν όλες οι μεγάλες πλατφόρμες αναθέτουν τη διαχείρισή τους σε εξωτερικά aggregators για λόγους κόστους· σε αυτό το στάδιο, όμως, οι κωδικοί περνούν από δίκτυα που συχνά δεν ελέγχονται επαρκώς. Ο διευθύνων σύμβουλος της Fink Telecom, Andreas Fink, υποστήριξε ότι «νομικοί περιορισμοί» δεν τους επιτρέπουν να βλέπουν το περιεχόμενο των SMS, προσθέτοντας πως «δεν δραστηριοποιούμαστε πια στην παρακολούθηση». Τα δεδομένα, ωστόσο, επαληθεύθηκαν από ανεξάρτητους ειδικούς, επιβεβαιώνοντας την αυθεντικότητά τους.

Το περιστατικό έρχεται λίγες εβδομάδες αφότου η Valve παραδέχτηκε παραβίαση που αποκάλυψε αριθμούς τηλεφώνων και SMS-2FA αρχείων της πλειονότητας των λογαριασμών Steam—μια υπενθύμιση πως το αδύναμο σημείο δεν είναι πάντα ο χρήστης αλλά η ίδια η αλυσίδα διάδοσης των κωδικών (TechSpot).

Όσοι επιμένουν στην ασφάλεια καλούνται να στραφούν σε πιο στιβαρά μέσα: εφαρμογές ελέγχου ταυτότητας που παράγουν τους κωδικούς τοπικά ή φυσικά κλειδιά FIDO-U2F, ενώ για ευαίσθητους λογαριασμούς η βιομετρική επαλήθευση προσφέρει πρόσθετη θωράκιση. Μέχρι οι πάροχοι να εγκαταλείψουν οριστικά τα SMS ως δεύτερο παράγοντα, ο χρήστης παραμένει εκτεθειμένος στη «σιωπηλή» αδυναμία κάθε ενδιάμεσου που θα περάσει ο κωδικός του.

Ανησυχητικά ευρήματα από τη Cyble Research and Intelligence Labs φέρνουν στο φως εκτεταμένη εκστρατεία phishing μέσω του Google Play Store, με τουλάχιστον 20 πλαστές εφαρμογές κρυπτονομισμάτων που προσποιούνται δημοφιλή πορτοφόλια και υπηρεσίες DeFi.

Οι εφαρμογές εμφανίζονται ως νόμιμες, αλλά στην πραγματικότητα έχουν σκοπό να υποκλέψουν τις 12-λέξεις φράσεις ανάκτησης (mnemonic phrases) των θυμάτων. Πρόκειται για τη βασική μέθοδο ανάκτησης πρόσβασης σε crypto πορτοφόλια – και αν κάποιος αποκτήσει αυτή τη φράση, παίρνει πλήρη έλεγχο του πορτοφολιού σας.

Οι 9 πιο πρόσφατα καταγεγραμμένες πλαστές εφαρμογές

Αφού αφαιρέθηκαν τα διπλότυπα, η Cyble αναφέρει τις εξής ως ενεργές στο Play Store:

• Pancake Swap

• Suite Wallet

• Hyperliquid

• Raydium

• BullX Crypto

• OpenOcean Exchange

• Meteora Exchange

• SushiSwap

• Harvest Finance Blog

Οι εφαρμογές χρησιμοποιούν ονόματα και εικονίδια πανομοιότυπα με τις πραγματικές πλατφόρμες, ενώ φιλοξενούνται από λογαριασμούς προγραμματιστών που έχουν είτε παραβιαστεί είτε χρησιμοποιούνταν στο παρελθόν για γνήσιες εφαρμογές. Έτσι μειώνεται ο κίνδυνος εντοπισμού τους από τους αυτοματισμούς της Google.

Δομή και υποδομή phishing

Η εκστρατεία δεν περιορίζεται στο app store. Σύμφωνα με την Cyble, υποστηρίζεται από μεγάλης κλίμακας phishing υποδομή που περιλαμβάνει πάνω από 50 domains, με στόχο την εξάπλωση και τη διαφυγή από τα φίλτρα ασφαλείας.

Οι χρήστες καλούνται να εισαγάγουν το seed phrase μόλις ανοίξουν την εφαρμογή — ένα χαρακτηριστικό που καμία γνήσια εφαρμογή δεν θα απαιτούσε τόσο άμεσα και χωρίς προηγούμενο setup ή offline μέτρα ασφαλείας.

Πώς να προστατευτείτε

• Μην εισάγετε ποτέ τις 12 λέξεις σας σε εφαρμογές που μόλις εγκαταστήσατε

• Ελέγχετε πάντα ποιο είναι το ακριβές publisher name και το package name

• Προτιμήστε την εγκατάσταση μέσω επίσημων ιστοσελίδων των project και όχι μέσω αναζήτησης στο Play Store

• Χρησιμοποιήστε hardware wallets ή εφαρμογές με ανοιχτό κώδικα και διαφανή ιστορικό

• Αν εγκαταστήσατε οποιαδήποτε από τις παραπάνω εφαρμογές, διαγράψτε την άμεσα και μεταφέρετε τα funds σας σε νέο πορτοφόλι με καινούργιο seed

Η απειλή μεγαλώνει

Το 2024, οι απάτες με κρυπτονομίσματα απέφεραν έσοδα 9,9 δισεκατομμυρίων δολαρίων, και η Cyble προειδοποιεί ότι με την αύξηση των εργαλείων AI, οι scammers αναμένεται να γίνουν ακόμα πιο επικίνδυνοι μέσα στο 2025.

Δύο κρίσιμες ευπάθειες αποκάλυψε η Qualys Threat Research Unit (TRU) σε handlers που διαχειρίζονται core dumps σε διανομές Linux όπως Ubuntu, Red Hat Enterprise Linux και Fedora. Οι ευπάθειες, με κωδικούς CVE-2025-5054 και CVE-2025-4598, εντοπίζονται στα Apport και systemd-coredump αντίστοιχα, και αφορούν συνθήκες αγώνα (race conditions) που θα μπορούσαν να επιτρέψουν σε τοπικούς μη προνομιούχους χρήστες να αποκτήσουν πρόσβαση σε ευαίσθητο περιεχόμενο μνήμης από crashed SUID διεργασίες.

Τι ακριβώς είναι οι ευπάθειες;

CVE-2025-5054 (CVSS 4.7):

Αφορά την υλοποίηση του Apport έως και την έκδοση 2.32.0 στο Ubuntu. Ένας τοπικός επιτιθέμενος μπορεί να προκαλέσει crash σε SUID διεργασία και, μέσω ανακύκλωσης PID σε container, να παρακάμψει τους ελέγχους του Apport και να λάβει το core dump του αρχικού, προνομιούχου process εντός namespace.

CVE-2025-4598 (CVSS 4.7):

Πρόκειται για ευπάθεια στο systemd-coredump, όπου ο επιτιθέμενος προκαλεί crash σε SUID διεργασία και έπειτα αντικαθιστά το binary με μη-SUID διεργασία με το ίδιο PID, για να ανακτήσει το core dump με προνομιούχο περιεχόμενο (όπως το αρχείο /etc/shadow). Η ευπάθεια δεν επηρεάζει τα Ubuntu, ενώ τα Debian συστήματα δεν επηρεάζονται εξ ορισμού εκτός αν έχει εγκατασταθεί το systemd-coredump.

Ποιος κινδυνεύει;

Παρότι η αξιολόγηση σοβαρότητας είναι "Μέτρια", η Qualys δημοσίευσε proof-of-concept exploits που αποδεικνύουν ότι η πρόσβαση σε δεδομένα όπως hashed passwords από το /etc/shadow είναι δυνατή. Το εργαλείο unix_chkpwd, που χρησιμοποιείται για την επαλήθευση συνθηματικών, χρησιμοποιήθηκε για την επίδειξη της επίθεσης.

Πώς να προστατευτείτε

Για όσους δεν μπορούν να αναβαθμίσουν άμεσα το systemd, η Red Hat προτείνει την απενεργοποίηση των core dumps από SUID binaries μέσω:

echo 0 > /proc/sys/fs/suid_dumpable

Αυτό, ωστόσο, απενεργοποιεί πλήρως τη δυνατότητα δημιουργίας core dumps για SUID προγράμματα, γεγονός που επηρεάζει την ανάλυση σφαλμάτων για τέτοιες διεργασίες. Παρόμοιες οδηγίες εξέδωσαν και οι Amazon Linux, Debian, και Gentoo.

Επιπτώσεις και σύσταση

Κατά την Qualys, η εκμετάλλευση αυτών των ευπαθειών θα μπορούσε να αποκαλύψει κρυπτογραφικά κλειδιά, συνθηματικά, tokens ή άλλα ευαίσθητα δεδομένα που βρίσκονται προσωρινά στη μνήμη των προνομιούχων διεργασιών. Οι επιχειρήσεις που χρησιμοποιούν Apport ή systemd-coredump σε περιβάλλοντα πολυ-χρηστών ή containerized υποδομές θα πρέπει να προχωρήσουν σε:

• Ενημέρωση των πακέτων Apport και systemd

• Αναθεώρηση των πολιτικών core dump

• Περιορισμό πρόσβασης σε core dumps

• Συνεχή παρακολούθηση crash events

Εν Κατακλείδι

Οι CVE-2025-5054 και CVE-2025-4598 υπενθυμίζουν ότι ακόμα και υποσυστήματα διαχείρισης σφαλμάτων μπορούν να μετατραπούν σε πηγή διαρροής κρίσιμων δεδομένων. Η έγκαιρη υιοθέτηση διορθώσεων και ο επανασχεδιασμός των πολιτικών πρόσβασης στα crash dumps αποτελούν βασικά μέτρα προστασίας, ιδιαίτερα σε περιβάλλοντα με αυξημένο κίνδυνο εσωτερικών επιθέσεων.

Η Google Quantum AI δημοσίευσε χθες νέα προδημοσίευση (preprint), στην οποία αναλύεται το κόστος για να σπάσει κάποιος το αλγοριθμικό πρότυπο RSA-2048 με κβαντικό υπολογιστή. Το αποτέλεσμα είναι ανησυχητικό: ένας υπολογιστής με 1 εκατομμύριο qubits και θόρυβο (noisy qubits), θα μπορούσε θεωρητικά να καταρρίψει τη δημοφιλή κρυπτογραφική μέθοδο μέσα σε μία εβδομάδα. Πρόκειται για 20 φορές λιγότερους qubits σε σχέση με την αντίστοιχη εκτίμηση της Google το 2019.

Η εξέλιξη αυτή δεν σημαίνει ότι τέτοιοι υπολογιστές υπάρχουν ήδη — σήμερα, ακόμα και οι πιο προηγμένοι κβαντικοί επεξεργαστές κυμαίνονται σε κλίμακα 100 έως 1000 qubits, με σημαντικά υψηλότερα σφάλματα. Ωστόσο, η τάση είναι σαφής: κάθε λίγα χρόνια, η απόσταση μεταξύ θεωρίας και πράξης μειώνεται.

Το αποτέλεσμα προέκυψε από δύο κατευθύνσεις βελτίωσης:

• Αλγοριθμική βελτίωση: Σημαντική επιρροή είχε η προσέγγιση των Chevignard, Fouque και Schrottenloher (2024), οι οποίοι πρότειναν να γίνεται κατά προσέγγιση modular exponentiation, αντί για πλήρη ακριβή υπολογισμό, μειώνοντας έτσι τις απαιτήσεις σε προσωρινή μνήμη (work registers).
• Βελτιώσεις στην διόρθωση σφαλμάτων (error correction): Η Google αύξησε την πυκνότητα αποθήκευσης λογικών qubits (logical qubits) με διπλή στρώση κωδικών διόρθωσης, ενώ πρότεινε νέα τεχνική που ονομάζει “magic state cultivation”, ώστε να μειωθούν οι ενδιάμεσοι πόροι σε θεμελιώδεις κβαντικές πράξεις.

Τι σημαίνει αυτό για την ασφάλεια;

Ο οργανισμός NIST έχει ήδη δημοσιεύσει τις πρώτες επίσημες προδιαγραφές για post-quantum cryptography (PQC), οι οποίες σχεδιάστηκαν για να αντέχουν επιθέσεις από μελλοντικούς κβαντικούς υπολογιστές. Ο πιο γνωστός αλγόριθμος που προωθείται σήμερα για αντικατάσταση του RSA σε κρυπτογραφία μεταφοράς είναι το ML-KEM. Η Google ήδη χρησιμοποιεί τον ML-KEM τόσο για την κρυπτογράφηση της κίνησης στο Chrome, όσο και για τις εσωτερικές επικοινωνίες της.

Η ανάγκη για μετάβαση είναι ιδιαίτερα έντονη στην ασύμμετρη κρυπτογραφία, ειδικά για πρωτόκολλα επικοινωνίας και ψηφιακές υπογραφές. Σε περιπτώσεις όπως τα ψηφιακά πιστοποιητικά, τα firmware signatures ή τα στατικά δημόσια κλειδιά σε hardware, το ρίσκο είναι “store now, decrypt later”: δηλαδή, οι επιτιθέμενοι μπορούν να καταγράψουν σήμερα κρυπτογραφημένα δεδομένα και να τα αποκρυπτογραφήσουν στο μέλλον όταν η τεχνολογία το επιτρέψει.

Στις υπογραφές, η μετάβαση είναι ακόμα πιο περίπλοκη: τα κλειδιά υπογραφής είναι μακροβιότερα από τα ephemeral κλειδιά μεταφοράς, χρησιμοποιούνται σε περισσότερα σημεία και είναι πιο ελκυστικά για στόχευση όταν οι υπολογιστικοί πόροι του κβαντικού επιτιθέμενου είναι περιορισμένοι.

Η Google έχει ήδη ενσωματώσει PQC signature schemes σε preview στο Cloud KMS, ως υποδομή που θα διευκολύνει τη σταδιακή μετάβαση.

Χρονοδιάγραμμα και σύσταση

Το προσχέδιο έκθεσης του NIST για τη μετάβαση σε PQC προτείνει την κατάργηση ευάλωτων συστημάτων μετά το 2030 και την απαγόρευσή τους μετά το 2035. Η Google συμφωνεί με αυτό το χρονοδιάγραμμα και τονίζει πως, με βάση τα νέα δεδομένα, η προληπτική μετάβαση είναι επιτακτική. (Περισσότερα από την Google για PQC)

Εν Κατακλείδι
Η πτώση του ορίου qubit για την κατάρριψη του RSA υπενθυμίζει πως η απειλή δεν είναι θεωρητική — είναι σταδιακή και υπολογίσιμη. Όσο καθυστερεί η μετάβαση σε PQC, τόσο περισσότερο ενισχύεται το ρίσκο ότι κρίσιμα δεδομένα που κρυπτογραφούνται σήμερα ίσως να είναι προσβάσιμα αύριο. Για κράτη, εταιρείες και οργανισμούς, το “later” δεν είναι πλέον επιλογή.

Σε μια αποκάλυψη που προκαλεί ανησυχία, η ομάδα ερευνητών της Zero Day Initiative της Trend Micro παρουσίασε ένα σοβαρό κενό ασφαλείας στο πρωτόκολλο Apple Wireless Direct Link (AWDL), το οποίο χρησιμοποιείται ευρέως σε λειτουργίες όπως το AirPlay, το AirDrop και το Sidecar. Η ευπάθεια επιτρέπει την απομακρυσμένη εκτέλεση αυθαίρετου κώδικα μέσω Wi-Fi, χωρίς κανένα interaction από τον χρήστη και χωρίς φυσική πρόσβαση στη συσκευή.

Η παρουσίαση έγινε στο συνέδριο Pwn2Own 2024 στο Βανκούβερ και συνοδεύτηκε από την επιτυχή εκμετάλλευση της ευπάθειας σε iPhone 14, ενώ το ίδιο πρόβλημα φαίνεται να επηρεάζει και πλήθος άλλων συσκευών Apple, περιλαμβανομένων iPad, Apple Watch και υπολογιστών Mac με υποστήριξη AWDL. Ο μηχανισμός επίθεσης, που περιγράφηκε ως "0-click", σημαίνει ότι δεν απαιτείται καμία ενέργεια από τον κάτοχο της συσκευής — απλώς η σύνδεσή της σε Wi-Fi είναι αρκετή για να την καταστήσει ευάλωτη.

Η Apple έχει αναγνωρίσει το ζήτημα και κυκλοφόρησε ήδη διορθώσεις στο πλαίσιο των ενημερώσεων ασφαλείας του Απριλίου 2025 για το iOS, το iPadOS, το macOS και το watchOS. Παρόλα αυτά, ερευνητές προειδοποιούν ότι πολλές συσκευές παραμένουν σε παλαιότερες εκδόσεις, εκθέτοντας εκατομμύρια χρήστες στον κίνδυνο.

Αξιοσημείωτο είναι πως η εκμετάλλευση του κενού από τους ερευνητές δεν απαιτούσε προηγούμενη σύζευξη συσκευών, ούτε ενεργοποιημένες λειτουργίες όπως το AirDrop ή το Sidecar. Αρκούσε η ενεργοποίηση της AWDL στο παρασκήνιο — κάτι που συμβαίνει ακόμα και όταν ο χρήστης δεν το γνωρίζει.

Η Zero Day Initiative χαρακτήρισε το exploit ως ένα από τα πιο εντυπωσιακά του φετινού διαγωνισμού, και του απονεμήθηκε το υψηλότερο χρηματικό έπαθλο: $200.000. Η Apple, από πλευράς της, δεν έχει ανακοινώσει περισσότερες λεπτομέρειες, πέρα από τη δημοσίευση του σχετικού CVE-2024-23296.

Εν Κατακλείδι

Το περιστατικό αυτό υπογραμμίζει την ανάγκη για συστηματικές ενημερώσεις λογισμικού, ακόμη και σε οικοσυστήματα όπως της Apple που φημίζονται για την ασφάλειά τους. Οι "zero-click" επιθέσεις χωρίς φυσική πρόσβαση αποτελούν τον μεγαλύτερο κίνδυνο για τη σύγχρονη ψηφιακή ιδιωτικότητα — και το γεγονός ότι βασίζονται σε βασικές λειτουργίες του συστήματος καθιστά τη θωράκιση ακόμη πιο κρίσιμη.