Citizen Lab, İsrail merkezli bir siber güvenlik şirketi tarafında geliştirilen ve iPhone’lara girmek için kullanılan bir yazılım keşfettiler. Keşfedilen yazılımın şubat ayından beri kullanıldığı ve daha önce görülmemiş bir teknikle geliştirdiği belirtildi. Geliştirilen aracın iPhone’un güvenlik önlemlerini atlattığı açıklandı.Zafiyetin Apple’ın iOS, OSX ve watchOS’un tüm sürümlerini etkilerken, Apple zafiyet ile ilgili güncelleme yayınladı.
Apple güvenlik mühendisliği ve mimarisi başkanı Ivan Krstić, “iMessage için bu istismarın kullandığı belirledikten sonra, kullanıcılarımızı korumak için hızla iOS 14.8 için güncelleme geliştirdik ve dağıtıldık. Açıklandığı gibi saldırılar son derece karmaşık ve geliştirilmesi milyonlarca dolara mal oluyor,bu yazılımlar genellikle kısa zaman aralığında kullanılmak için geliştirilir ve belirli kişileri hedef almak için kullanılır.” dedi. Bir Apple sözcüsü, hackleme tekniğinin NSO Group’tan gelip gelmediği konusunda yorum yapmayı reddetti.
Citizen Lab yaptığı açıklamada ismi açıklanmayan bir Suudi aktivistin telefonunda kötü amaçlı yazılım bulduğunu ve telefona Şubat ayında casus yazılım bulaştığını söyledi. Ancak bu saldırıdan kaç kullanıcının etkilendiğini bilmediklerini sözlerin ekledi. Saldırının gerçekleşmesi için hedeflerin hiçbir şeye tıklaması gerekmediği belirtilirken istismar edilen cihazların tespitinin zor olduğunu belirttiler. Citizen Lab araştırmacısı John Scott-Railton, “Popüler sohbet uygulamaları, cihaz güvenliğinin yumuşak karnı haline gelme riskiyle karşı karşıya. Bunları güvenceye almak en büyük öncelik olmalı” dedi.
Apple’ın zaro-day zafiyetleri 2021’de yaygınlaşmaya başladı
Son yıllarda Apple’da ortaya çıkan zero-day zafiyetleri şu şekilde:
- The FORCEDENTRY exploit disclosed in August (previously tracked by Amnesty Tech as Megalodon),
- three iOS zero-days (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) in February, exploited in the wild and reported by anonymous researchers,
- an iOS zero-day (CVE-2021-1879) in March that may have also been actively exploited,
- one zero-day in iOS (CVE-2021-30661) and one in macOS (CVE-2021-30657) in April, exploited by Shlayer malware,
- three other iOS zero-days (CVE-2021-30663, CVE-2021-30665, and CVE-2021-30666) in May, bugs allowing for arbitrary remote code execution (RCE) simply by visiting malicious websites,
- a macOS zero-day (CVE-2021-30713) in May, which was abused by the XCSSET malware to bypass Apple’s TCC privacy protections.
- two iOS zero-day bugs (CVE-2021-30761 and CVE-2021-30762) in June that “may have been actively exploited” to hack into older iPhone, iPad, and iPod devices.
Kaynak: reuters.com | bleepingcomputer.com