لم تصل أي رسالة. لم يكن هناك رابط مشبوه، ولا مرفق عاجل، ولا اتصال من رقم مجهول. كان هاتف iPhone الخاص بالصحفي موضوعًا على مكتبه مقفلًا بينما كان يتناول طعام الغداء — وفي الوقت الذي استغرقه لإنهاء وجبته، كان الجهاز قد اختُرق بالكامل. اخترق استغلال zero-click صامتٌ الجهازَ عبر iMessage، ورفع الصلاحيات إلى مستوى root، وفعَّل برنامجًا خفيًا دائمًا. حين عثر باحثو Citizen Lab لاحقًا على آثار جنائية رقمية في الجهاز، كان المهاجم قد سرَّب بالفعل أشهرًا من الاتصالات وسجل الموقع الجغرافي وقوائم جهات الاتصال. لم يرتكب الضحية أي خطأ. ولم يكن بمقدوره فعل شيء.
هذه هي الجبهة الجديدة في استخبارات تهديدات الهواتف المحمولة: هجمات لا تستلزم أي تفاعل من المستخدم، تحرق ثغرات تساوي ملايين الدولارات في السوق السوداء، وتُنشر بدقة جراحية من قِبل جهات دولية حكومية ضد صحفيين ومديرين تنفيذيين ودبلوماسيين ومحامين ومسؤولين حكوميين. في عام 2026، لم تعد الأجهزة المحمولة مجرد سطح هجوم ثانوي — بل باتت السطح الرئيسي.
ما الذي يعنيه Zero-Click حقًا
يُستخدم مصطلح «zero-click» باستهتار أحيانًا، غير أن له معنى تقنيًا دقيقًا بالغ الأهمية لفهم التهديد. يعتمد التصيد الاحتيالي التقليدي على قيام المستخدم بالنقر على رابط أو فتح ملف — أي أنه يستلزم خطأً بشريًا في مرحلة ما من السلسلة. أما استغلالات zero-click فتُلغي هذا الاشتراط كليًا. تستهدف ثغرات في طريقة معالجة الجهاز للبيانات الواردة قبل أي تفاعل من المستخدم: تحليل ملف صورة في iMessage، أو عرض معاينة في إشعار تطبيق مراسلة، أو معالجة حزمة شبكية مشوهة.
تستهدف معظم سلاسل zero-click ثغرات تلف الذاكرة — تجاوزات المخزن المؤقت، وأخطاء الاستخدام بعد التحرير، وتقنيات heap spraying التي تتيح للمهاجم الكتابة فوق ذاكرة عشوائية وإعادة توجيه تنفيذ الكود. استغل FORCEDENTRY، استغلال NSO Group الموجَّه ضد ناشطين بحرينيين عام 2021 والذي شرَّحه Google Project Zero، ثغرة في مكتبة تحليل الصور الخاصة بـ Apple وهي (JBIG2)، مما أتاح للمهاجمين محاكاة معالج مركزي بالكامل داخل محرك التحليل — مما يعني تنفيذ كود عشوائي فعليًا داخل ما كانت Apple تعتقد أنه عملية محمية وآمنة.
السبب الهيكلي الذي جعل من الهاتف المحمول السطح الأساسي للهجوم هو طبيعة الجهاز ذاتها. الهواتف الذكية في تشغيل دائم، ومتصلة في كل الأوقات، ونادرًا ما تُعاد تشغيلها — مما يُيسِّر استمرارية الاختراق. وهي تحمل بيانات الموقع الجغرافي (تتبع GPS بدقة المتر)، والاتصالات المشفرة (القنوات التي يثق بها المديرون التنفيذيون أكثر من غيرها)، وبيانات الاعتماد البيومترية، ورموز الوصول إلى الشبكة المؤسسية. إن هاتفًا ذكيًا مخترقًا بالكامل أكثر قيمة لمهاجم متطور من حاسوب محمول مخترق: فهو يتنقل مع الهدف، ويستمع عبر الميكروفون، ويتجاوز الشبكة الافتراضية الخاصة (VPN) وجدار الحماية وأداة كشف نقاط النهاية التي أمضت فرق الأمن المؤسسي سنوات في نشرها.
وسطاء الثغرات
أسواق zero-days المحمولة التجارية طبَّعت ما كان يُعدُّ قديمًا حكرًا على أجهزة الاستخبارات الحكومية. تنشر Zerodium، شركة اقتناء الاستغلالات مقرها واشنطن، قائمة أسعار علنية: سلسلة تنفيذ كود عن بعد مع استمرارية كاملة لـ iOS — النوع اللازم لنشر zero-click — تصل إلى 2.5 مليون دولار للاستحواذ الواحد. سلاسل Android الكاملة تُسعَّر بأقل قليلًا، نحو مليوني دولار، وهو ما يعكس النصيب الأكبر لـ iOS من بين الأهداف الحكومية والمؤسسية عالية القيمة. عرضت Crowdfense، منافسة مقرها الإمارات، أسعارًا مماثلة. تقتني كلتا الشركتين الثغرات من باحثين مستقلين وتبيعها حصريًا لعملاء حكوميين.
أسفل طبقة الاقتناء تقع صناعة برامج التجسس التجارية. Pegasus من NSO Group، هي المثال الأكثر توثيقًا: مجموعة مراقبة محمولة كاملة المزايا تُباع لعملاء حكوميين، قادرة على استخراج الرسائل والبريد الإلكتروني والصور وإحداثيات GPS، وحتى تفعيل الميكروفون والكاميرا عن بُعد. يعمل Pegasus بصمت، ويُخلِّف آثارًا جنائية رقمية ضئيلة، وقد سُوِّق لسنوات باعتباره أداة للاعتراض القانوني في مكافحة الجريمة المنظمة والإرهاب.
يمثل Predator من Intellexa وGraphite من Paragon جيلًا ثانيًا من المنافسين نشأ حين واجه NSO Group عقوبات ودعاوى قضائية وأضرارًا بالسمعة. تعمل هذه المنتجات بالنموذج ذاته — بترخيص لوكالات الاستخبارات والأجهزة الأمنية الحكومية — لكنها وسَّعت قاعدة عملائها إلى ما هو أبعد من الحفنة الأولى من الدول المنحازة للغرب. لقد تصنَّعت هذه الصناعة. لم يعد استغلال الهواتف المحمولة zero-click حكرًا على وكالة NSA أو GCHQ. بات متاحًا لأي حكومة لديها ميزانية شراء والإرادة السياسية لنشره.
حالات حقيقية شكَّلت طبيعة التهديد
السجل الموثق واسع النطاق. وثَّق Citizen Lab في جامعة تورنتو إصابات Pegasus في عشرات الدول، ووجد باستمرار أن الأداة تُوظَّف ضد أشخاص لم تكن المزاعم تستهدفهم أصلًا: صحفيون يغطون الفساد، وسياسيو معارضة، ومحامو حقوق الإنسان، وذوو المعارضين.
لم يستلزم استغلال FORCEDENTRY، الموجَّه ضد تسعة ناشطين بحرينيين على الأقل بين فبراير وسبتمبر 2021، أي تفاعل منهم. اختُرقت أجهزة تعمل بإصدارات محدَّثة بالكامل من iOS عبر iMessage. أُخطِرت Apple في سبتمبر 2021 وأصدرت تصحيحًا في غضون أيام — لكن المهاجمين كانوا قد استمتعوا بأشهر من الوصول غير المكشوف. يبقى تحليل Google Project Zero اللاحق لـ FORCEDENTRY من أكثر التفكيكات التقنية الجنائية الرقمية العلنية تفصيلًا لسلسلة استغلال محمولة على مستوى دولة.
في عام 2019، أفصحت WhatsApp عن ثغرة zero-day (CVE-2019-3568) في مكدس بروتوكول VoIP الخاص بها، تتيح تثبيت Pegasus بمجرد الاتصال بهاتف الهدف — حتى لو لم يُجِب على المكالمة. أثَّرت الثغرة على iOS و Android معًا. لاحقًا رفعت الشركة الأم لـ WhatsApp، وهي Meta، دعوى قضائية ضد NSO Group، وهي قضية تفاعلت مع المحاكم الأمريكية لسنوات وأسفرت عن اكتشافات قانونية بالغة الأهمية.
لم يكن Android بمنأى عن ذلك. استخدمت عدة حملات موثَّقة سلاسل استغلال متراكمة — تجمع ثغرة في متصفح أو تطبيق مراسلة مع تصعيد صلاحيات على مستوى النواة — لتحقيق وصول root دائم على أجهزة Android. استغلت حملات استهدفت صحفيين في الشرق الأوسط وآسيا الوسطى ثغرات في محرك عرض Chrome مقترنة بأخطاء في نواة Linux لتحقيق اختراق كامل للجهاز.
إعلان
استجابة الشركات المصنِّعة
استجابة Apple لتهديد zero-click هي Lockdown Mode، المُقدَّم مع iOS 16 والموسَّع بشكل ملحوظ في الإصدارات التالية. Lockdown Mode تهيئة مشدَّدة اختيارية تعطِّل معاينات روابط iMessage، وتحجب معظم مكالمات FaceTime الواردة من جهات اتصال مجهولة، وتعطِّل التجميع الفوري JIT في WebKit، وتقيِّد ملفات تعريف إدارة الأجهزة الواردة. إنها أداة غير مرنة — بعض الوظائف تتوقف عن العمل — لكن الأبحاث تُشير إلى أنها ترفع بشكل ملموس تكلفة الاستغلال. ثبت أن استغلالات NSO Group التي تجاوزت إصدارات iOS السابقة تفشل في مواجهة أجهزة تعمل بـ Lockdown Mode.
استجابة Google كانت متعددة الأوجه. نشر Project Zero نظامًا متناميًا من الأبحاث التقنية التفصيلية حول استغلال الهواتف، ويقدم برنامج Android Vulnerability Rewards الآن ما يصل إلى 1.5 مليون دولار لسلسلة استغلال عن بُعد كاملة. تحسَّنت وتيرة إصدار التصحيحات في Android بشكل ملحوظ — تغطي النشرات الأمنية الشهرية الآن نظام التشغيل الأساسي، لكن مشكلة التجزؤ لا تزال قائمة. يتحكم المصنِّعون (Samsung وXiaomi وOppo) في توقيت وصول التصحيحات إلى المستخدمين النهائيين، وقد يمتد هذا التأخير من أسابيع إلى أشهر للأجهزة منخفضة المستوى. تتلقى هواتف Pixel التصحيحات أولًا؛ وتلحق بقية منظومة Android وفق جداول زمنية تتفاوت تفاوتًا كبيرًا.
باتت المقارنة الأمنية بين iOS و Android أكثر دقة وتعقيدًا. تستفيد iOS من منظومة متكاملة يُحكم التحكم فيها بين الأجهزة والبرمجيات، مما يُصعِّب الاستغلال — لكن هذا يعني أيضًا أنه حين توجد ثغرة zero-day في مكتبة Apple أساسية (كما حدث مع JBIG2 في FORCEDENTRY)، فإنها تؤثر على كل جهاز يعمل بتلك الإصدارة من iOS في آنٍ واحد. أما تجزؤ Android الذي كان يُستشهد به طويلًا كنقطة ضعف أمنية، فيعني أيضًا أن ثغرة في تنفيذ أحد المصنِّعين قد لا تطال الآخرين. لا توجد بنية أكثر أمانًا بطبيعتها؛ سطح الهجوم مختلف في شكله فحسب.
مشكلة التعرض في بيئات الأعمال
بنت فرق الأمن المؤسسي نماذج تهديداتها إلى حد بعيد حول نقاط نهاية الحواسيب المكتبية — أجهزة لابتوب مزودة بأدوات الكشف والاستجابة (EDR)، وبوابات بريد إلكتروني مزودة بصناديق الحماية، ومراقبة محيط الشبكة. تقع الأجهزة المحمولة خارج هذه الضوابط في معظم المنظمات. يحمل هاتف iPhone لرئيس تنفيذي رسائل Signal الخاصة به، ومحادثاته عبر WhatsApp مع أعضاء مجلس الإدارة والمستثمرين، وبريده الإلكتروني الشخصي المرتبط بحسابات الشركة، ورموز مصادقة متعددة العوامل. قد يُدرُّ اختراق ذلك الجهاز من المعلومات الاستخباراتية أكثر مما يُدرُّه أشهر من مراقبة البريد الإلكتروني.
تضاعف سياسات BYOD (استخدام الأجهزة الشخصية في العمل)، وهي المعيار السائد في معظم المنظمات متوسطة الحجم والكبيرة، هذا التعرض. الأجهزة الشخصية لا تُسجَّل في منظومة MDM، ولا تُحدَّث وفق جداول الشركة، وقد تعمل بإصدارات أقدم من iOS أو Android. حتى الأجهزة المسجَّلة تقاوم نوع الفحص العميق الذي تتيحه أدوات EDR على الحواسيب المحمولة — تُعزِّل أنظمة تشغيل الهواتف برامج الأمن بالطريقة ذاتها التي تعزل بها كل شيء آخر، مما يحول دون الرؤية على مستوى النواة التي تجعل الكشف عن نقاط النهاية ذا معنى.
توسَّع نطاق الاستهداف أيضًا. ركَّزت الحملات الأولى لبرامج التجسس التجارية على المعارضين والصحفيين. بحلول عام 2025، تضمَّنت الحالات الموثَّقة محامين يعملون في قضايا حساسة، ومديرين تنفيذيين في شركات المقاولات الدفاعية، وشركات أدوية متورطة في نزاعات تنظيمية، وموظفين في مؤسسات مالية. يتراجع حاجز النشر مع توسُّع عدد المشغِّلين المرخَّصين وتراجع الأسعار بفعل المنافسة.
ما يمكن للمؤسسات فعله
الواقع المزعج هو أنه لا توجد منظمة قادرة على الدفاع الكامل ضد جهة حكومية تمتلك تمويلًا وافرًا وتُفجِّر ثغرة zero-day حقيقية zero-click على جهاز محدَّث بالكامل. الهدف هو رفع تكلفة الهجوم وتقليل التعرض للأفراد الأعلى خطورة.
تفعيل Lockdown Mode للأفراد ذوي المخاطر العالية. ينبغي لأي مدير تنفيذي أو مستشار قانوني أو عضو مجلس إدارة أو صحفي أو موظف يتعامل مع جهات حكومية ممن قد تكون اتصالاتهم ذات قيمة استخباراتية تشغيل Lockdown Mode لـ iOS أو ملف تصليب مكافئ لـ Android. المقايضات في سهولة الاستخدام قابلة للإدارة — تظل معظم سير العمل المؤسسية سليمة.
نشر أدوات Mobile Threat Defense. منتجات كـ Zimperium وLookout تعمل ضمن قيود بيئة الحماية المعزولة لأنظمة تشغيل الهواتف، لكنها تستطيع رصد الشذوذات السلوكية والاتصالات الشبكية المشبوهة والتهيئات الخبيثة المعروفة. هي ليست معادلة لـ EDR على الحواسيب المحمولة، لكنها تقدِّم إشارة ذات قيمة — لا سيما للكشف عن الاتصالات الراجعة التي تستخدمها زرعات برامج التجسس لاستخراج البيانات.
تضييق سطح الهجوم عبر iMessage. المنظمات التي لا تستلزم iMessage للاتصالات المهنية ينبغي تعطيله، أو على الأقل تهيئته لتصفية الرسائل من جهات اتصال مجهولة. ينطبق الأمر ذاته على FaceTime. تقليل سطح التحليل الذي تستغله الجهات الحكومية هو إجراء مباشر لرفع التكاليف.
فرض سياسة تحديث سريع للهواتف المحمولة. ينبغي للمنظمات التي تدير أجهزة مؤسسية أو شخصية مسجَّلة أن تشترط تحديث iOS و Android في غضون 72 ساعة من إصدار كل تحديث. نسبة ملحوظة من الاستغلالات الناجحة للهواتف تستهدف ثغرات يوجد لها تصحيح بالفعل.
مراجعة أذونات تطبيقات المراسلة واستخدامها. لكل من WhatsApp وTelegram وSignal ملف مخاطر مختلف. ينبغي للمنظمات جرد تطبيقات المراسلة التي يستخدمها الموظفون في الاتصالات المهنية وتطبيق سياسات تصنيف البيانات وفق ذلك.
افتراض الاختراق عند العمليات الحساسة. في الاجتماعات التي تتضمن معلومات بالغة الحساسية — نقاشات الاندماج والاستحواذ، والمفاوضات التنظيمية، واستراتيجية التقاضي — تعامَل مع كل الأجهزة المحمولة في الغرفة على أنها مخترقة محتملًا. استخدم أجهزة مخصصة معزولة حيث تبرر المخاطر ذلك.
لن تصبح استغلالات zero-click المحمولة أقل شيوعًا مع نضج السوق — بل ستصبح أكثر إتاحة. تتراجع الحواجز التقنية أمام النشر بينما تصنَّعت البنية التجارية الداعمة للمراقبة المحمولة على مستوى الدولة. عام 2026 هو العام الذي ينتقل فيه أمن الهواتف المحمولة من هامش تقييمات مخاطر المؤسسات إلى نقاش على مستوى مجلس الإدارة.
الأسئلة الشائعة
ما المقصود بـ Mobile Zero Days؟
يتناول هذا المقال الجوانب الأساسية لهذا الموضوع، ويستعرض الاتجاهات الحالية والجهات الفاعلة الرئيسية والتداعيات العملية على المهنيين والمؤسسات في عام 2026.
لماذا يُعد هذا الموضوع مهمًا؟
يكتسب هذا الموضوع أهمية كبيرة لأنه يؤثر بشكل مباشر على كيفية تخطيط المؤسسات لاستراتيجيتها التقنية وتخصيص مواردها وتموضعها في مشهد سريع التطور.
ما أبرز النقاط المستخلصة من هذا المقال؟
يحلل المقال الآليات الرئيسية والأطر المرجعية والأمثلة الواقعية التي تشرح كيفية عمل هذا المجال، مستندًا إلى بيانات حديثة ودراسات حالة عملية.
المصادر والقراءات الإضافية
- FORCEDENTRY: استغلال NSO Group zero-click لـ iMessage — Citizen Lab
- تشريح معمَّق لاستغلال NSO Group zero-click لـ iMessage — Google Project Zero
- حول Lockdown Mode — Apple Security Engineering
- برنامج اقتناء الاستغلالات — Zerodium
- تقرير المنهجية الجنائية الرقمية: كيف تكشف Pegasus من NSO Group — Amnesty Tech
- Predator في الأسلاك: استهداف ببرنامج التجسس Predator — Citizen Lab
