iPhone Cihazlar Fark Edilmeden Yıllarca Hacklenmiş!

Bu yılın başında Google’ın “Tehdit Analiz Grubu” hacklenmiş web sayfalarıyla ilgili bir koleksiyon keşfetti. Saldırganların hacklenmiş web sayfalarını iPhone’larda keşfedilen 0. Gün (0-day) zafiyetlerini kullandığı ve kullanıcılara karşı “Sulama Deliği” (Watering Hole) saldırılarını gerçekleştirdiği tespit edildi.

Hedef ayrımı olmaksızın hacklenmiş web sayfalarını ziyaret eden tüm kullanıcılar, sömürü için kullanılan bilgisayarların etkisi altında kaldı. Etkilenen kullanıcıların sistemlerine izleme (monitoring) saldırısı yapıldı. Hacklenen sitelerin haftalık kullanıcı sayısının binlerce olduğu düşünülüyor.

Google TAG, iOS 10. sürümünden iOS 12 sürümüne kadar 5 farklı iPhone sömürü zinciri topladı. Topladığı verilerde belirli hacker topluluklarının iPhone kullanıcılarını 2 yıldan fazla süredir istismar etmek için çaba harcadığını tespit etti.

Project Zero analistlerinin paylaştığı bilgilerde tespit edilen zafiyetlerin temel nedeni ve yazılım geliştirme yaşam döngüsüyle alakalı olarak göz ardı edilen test süreçleri detaylı olarak açıklandı. Tespit edilen 5 farklı sömürü zincirinde toplam 14 güvenlik açığı tespit edildi. Bunlardan 7 tanesi iPhone web tarayıcısı Safari, 5 tanesi çekirdek (kernel) seviyesi ve 2 tanesi de sanal alan sızıntısı seviyesi (sandbox escape) olarak açıklandı.

Analizin başlatıldığında CVE-2019-7286 ve CVE-2019-7287 koduyla iki farklı yetki yükseltme 0. Gün (0-day) zafiyeti keşfedildi. Tespit edilen 0. Günlerin en az iki yıl boyunca fark edilmediği paylaşıldı. Şubat ayında yayınlanan iOS 12.1.4 sürümüyle yetki yüksetlme zafiyetlerine güvenlik güncelleştirmeleri yapıldı.

Zafiyetli Safari tarayıcısını kullanarak hacklenmiş web sayfalarını ziyaret eden iPhone kullanıcılarına saldırganlar tarafından WebKit sömürüsü uygulandı. Böylece kullanıcıların cihazlarına yetki yükseltme saldırısı (PrivEsc) yapılarak “root” seviyesinde erişim sağlandı. Zafiyetler öncelikle kullanıcıların mesajlarını, fotoğraflarını ve GPS konum bilgilerini her 60 saniyede bir uzaktaki sunucuya yüklemek için sömürüldü.

Casus yazılımlar kullanılarak hedef kullanıcıların Whatsapp, Telegram ve iMessage gibi popüler anlık mesajlaşma uygulamalarının veri depolamak için kullandığı veritabanı dosyaları da saldırganlar tarafından çalındı. Ek olarak kullanıcı cihazlarının kimlik bilgileri, kimlik doğrulama belirteçleri (tokens) ve cihazların kullandığı sertifikalara erişildi.

İzleme (monitoring) saldırısı sonucunda sisteme yüklenen zararlı yazılım cihaz yeniden başlatıldığında otomatik olarak silinse de, kullanıcılar hacklenen sayfayı tekrar ziyaret ettiğinde izleme saldırısı yeniden tetikleniyor.

Apple tespit edilen iPhone sömürülerinin istismar edildiği güvenlik zafiyetlerinin çoğunu güncelledi. Kullanıcıların bu tür saldırı zincirlerinin hedefinde olmamaları için her zaman cihazlarını güncel tutmaları şiddetle tavsiye edilmektedir.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


Sızma testi hizmetlerimizi incelediniz mi?