- Washington DC merkezli, uluslararası sivil toplum kuruluşunda çalışan bir kişinin iPhone incelemesi sırasında, NSO Group’un Pegasus casus yazılımını dağıtan aktif olarak istismar edilen bir açık tespit edildi
- Citizen Lab’in BLASTPASS adını verdiği bu istismar zinciri, en güncel iOS 16.6’da bile kurbanın herhangi bir etkileşimi olmadan iPhone’u ele geçirebiliyordu
- Saldırganlar, iMessage üzerinden kötü amaçlı görsel içeren bir PassKit eki göndererek sıfır tıklama enfeksiyonu denedi; Citizen Lab daha fazla analiz paylaşacağını duyurdu
- Citizen Lab bulgularını derhal Apple ile paylaştı ve Apple ilgili açıklar için CVE-2023-41064 ile CVE-2023-41061 kimliklerini atadı
- Apple güncellemeleri iPhone, iPad, Mac ve Apple Watch için geçerli; Citizen Lab ile Apple Security Engineering and Architecture ekibi, Lockdown Mode’un bu saldırıyı engellediğini düşünüyor
BLASTPASS istismar zinciri
- Citizen Lab, Washington DC merkezli ve uluslararası ofisleri bulunan bir sivil toplum kuruluşu çalışanının cihazını incelerken, gerçek saldırılarda kullanılan bir sıfır tıklama açığı keşfetti
- Bu açık, NSO Group’un Pegasus paralı casus yazılımını dağıtmak için kullanıldı
- Citizen Lab, ilgili istismar zincirine BLASTPASS adını verdi
- BLASTPASS, kurbanın hiçbir etkileşimi olmadan en güncel iOS 16.6 çalıştıran iPhone’ları ele geçirebiliyordu
- Saldırı, saldırganın iMessage hesabından kurbana PassKit eki gönderilmesi şeklinde gerçekleşti
- Ekin içinde kötü amaçlı bir görsel bulunuyordu
- İlgili belgeler PassKit sayfasında görülebilir
- Citizen Lab, ileride bu istismar zincirine dair daha ayrıntılı bir değerlendirme yayımlamayı planlıyor
Apple açıklaması ve CVE
- Citizen Lab, bulgularını hemen Apple ile paylaştı ve Apple’ın soruşturmasına destek verdi
- Apple, bu istismar zinciriyle ilgili iki CVE yayımladı
-
CVE-2023-41064
- CVE-2023-41061
-
Hemen güncelleyin ve Lockdown Mode
- Citizen Lab, tüm kullanıcılara cihazlarını derhal güncellemelerini tavsiye ediyor
- Apple, Apple ürünleri için güncellemeler yayımladı; buna iPhone, iPad, Mac ve Apple Watch da dahil
- Kimliği veya faaliyetleri nedeniyle daha yüksek risk altında olabilecek kullanıcılara Lockdown Mode’u etkinleştirmeleri öneriliyor
- Citizen Lab ile Apple Security Engineering and Architecture ekibi, Lockdown Mode’un bu spesifik saldırıyı engellediğini düşünüyor
- Citizen Lab, Apple’ın hızlı soruşturma yanıtını ve yama sürecini olumlu değerlendirdi; ayrıca mağdur ile bağlı bulunduğu kuruma iş birliği ve destekleri için teşekkür etti
Sivil toplumun hedef alınmasının gösterdiği güvenlik sinyali
- Bu bulgu, sivil toplumun gelişmiş istismarların ve paralı casus yazılımların hedefi olmaya devam ettiğini bir kez daha gösteriyor
- Apple güncellemeleri, dünya genelindeki sıradan kullanıcıların, şirketlerin ve devlet kurumlarının cihazlarını koruyacak
- BLASTPASS’ın keşfi, sivil toplum kuruluşlarını desteklemenin kolektif siber güvenlik açısından büyük değer taşıdığını öne çıkarıyor
Güncelleme geçmişi
- Gönderi, 7 Eylül Doğu Saati ile 17:42’de güncellendi
- Güncellemede, Apple Security Engineering and Architecture ekibi ile Citizen Lab’in Lockdown Mode’un bu spesifik saldırıyı engellediğini düşündüğü bilgisi eklendi
1 yorum
Hacker News yorumları
Apple ve yazılım hakkında çok konuşuluyor ama NSO Group’un neden var olabildiğine dair çok az şey söyleniyor
Neredeyse açıkça faaliyet gösteriyorlar ve pek utanıyor gibi de değiller. Yoksa bunu özgeçmişlerine koymazlardı: https://www.linkedin.com/company/nso-group/people/
Buna bakınca “teknoloji topluluğu”nun bu tür teknoloji kullanımını fazlasıyla kolay kabullendiği hissine kapılıyorum. Hani “dünyayı daha iyi bir yer yapacağına” inandığımız teknoloji var ya
NSO, İsrail hükümeti tarafından destekleniyor gibi görünüyor. Yalnızca önceden incelenmiş hükümetlere sattıklarını söylüyorlar ama gerçekte çoğu zaman rejime karşı çıkan kişileri izleyen ve onlara zulmeden otoriter ülkelere satıyorlar
NSO Group’un kötü olmasının nedeni, baskıcı rejimlere satış yapmış olması ve bu rejimlerin masum sivillere zarar vermesi için yazılımın dağıtımına aktif biçimde destek verdiği iddiasıdır. Bu eylemler ve niyet, ayrıca sorumluluk yönetimindeki başarısızlık nedeniyle yaptırıma uğramalılar; hatırladığım kadarıyla zaten yaptırım altındalar
Ancak satıcı ve alıcının iyi niyetli olması, ürünü yalnızca yasalara uygun kullanmayı planlaması gibi birçok istisna var. Hukuki tavsiye değildir
Dünyanın yakında silahsızlanacağını beklemek için bir neden yok; bu yüzden yapılabilecek en iyi şey, bunun farkında olup politikayı demokratik yollarla etkilemeye çalışmak ve kötü fikirlerle kötü aktörleri ayıklamak
İsrail, İran’la olası bir savaşta müttefik edinmek için Suudi Arabistan’ı sürekli yanına çekmeye çalışıyor. Suudi hava sahasından geçiş hakkı almak uğruna birkaç insan hakları aktivistini kesinlikle feda eder. Yine de son zamanlarda işler İsrail’in istediği gibi gidiyor gibi görünmüyor
Gerçekte teknoloji topluluğu çok çeşitli ve hiç de bütünlüklü değil. Örneğin birçok geliştirici temel yaşam masraflarını zar zor karşılıyor; NSO’nun ne olduğunu öğrenecek zihinsel alanları bile yok
Lockdown Mode’un gazeteci değilseniz ya da doğrudan ve açık bir tehlike altında değilseniz kullanılmaması gerektiğinin özellikle vurgulanması ilginç. Gerçekte kullanıcı açısından işlev farkı çok büyük değil; arka planda çalışan ve saldırı yüzeyini genişleten Apple’ın çeşitli gereksiz şeylerini kapatmaktan ibaret
Buna rağmen herkes “herkes kullanmamalı, sadece özel kişiler kullanmalı” şeklindeki çekinceyi tekrarlıyor. Ne kıt bir kaynak ne de sıfır toplamlı bir şey. Aksine herkes kullanırsa, kullanıcıya faydası olmayan pek çok özellik kapanır, pil tasarrufu sağlanabilir ve yaygınlaştıkça belirli kullanıcıları ayırt etmek için kullanılması zorlaşır
Apple, iOS’un Android’den daha yavaş veya hantal hissedilmesinden kaçınmak isteyecektir. Ayrıca sıfır gün casus yazılımlar genelde kitlesel gözetimden çok önemli kişileri hedef aldığı için birey açısından gerçek risk düşük sayılır
İki mod arasında bir ara denge modu olsa iyi olurdu. Gerekli bir özellik olduğunda güvenliği birkaç dakikalığına düşürmeye izin vermek gibi. Örneğin Safari, JavaScript’in yavaş olduğunu algılarsa JIT’i yeniden açmak isteyip istemediğinizi sorabilir
Reel politika açısından bakarsak, baskıcı rejimlerin Apple’ın bu özelliği barındıran cihazları piyasaya sürmesine izin verme karşılığında, özelliğin aktif biçimde tanıtılmaması ya da varsayılan yapılmaması şartını koşmuş olması mümkün. Çin’de Lockdown Mode varsayılan olarak açık olsa ve çoğunluk kullansa Apple kısa sürede Çin’den kovulurdu
Web içeriklerinde de bir fark hissetmedim; bunun nedeni Safari yerine Firefox/Chrome kullanmam olabilir. Asıl istediğim şey seçenek. Örneğin iOS’ta paylaşılan fotoğraf albümlerini kullandığım için o özelliği koruyup geri kalanları kapatabilmek isterdim
Öncelikle Continuity neredeyse bozuluyor gibi ve kişisel olarak oldukça güvendiğim bir özellik. AirPlay de epey değişken hale geliyor
Bunların hepsi ağ sorunları olabilir ama yalnızca Lockdown Mode’a geçtikten sonra başladı. Ayrıca Ekran Süresi isteklerinin çalışmaması da oldukça can sıkıcı
iMessage’ın bugüne kadar kaç güvenlik açığı oldu?
Yeni kişilerden gelen ilk mesajda yalnızca düz metne izin vermenin, sonraki mesajlarda da ActiveX’ten pek farkı olmayan çılgın bir eklenti sistemi yerine çok sınırlı bir alt kümeye izin vermenin zamanı gelmedi mi?
Üstelik tüm uygulamayı sandbox içinde çalıştırıp, ek bir koruma katmanı olarak her şeyi webview üzerinden işlemek de düşünülmeye değer.
iMessage da aynı nedenle tam olarak aynı davranışı göstermeli. Önceki neslin acı şekilde öğrendiği dersleri, aynı binada çalışan açgözlü ürün yöneticilerinin yeniden öğrenmesini izlemek sinir bozucu.
Cevap “görüntüleri render etmeyelim” olmamalı. Görüntü gibi harici verileri parse eden bileşenlerin, girdi ne olursa olsun kötü niyetli davranış sergileyemeyeceğine güvenebilmeliyiz.
Sandbox gerekiyorsa öyle yapılır; tüm görüntü ayrıştırıcılarını güvenli bir dille baştan yazmak ya da biçimsel olarak doğruluğunu kanıtlamak gerekiyorsa o da yapılır. Apple’ın kendi uzay programını on kez yürütecek kadar parası var; kanıtlanabilir bir görüntü kütüphanesi de yapabilir.
iMessage’da ise az sayıda exploit vardı; bunlar NSO gibi yerler tarafından aşırı pahalı fiyatlarla, çok az sayıdaki kötü niyetli devlet aktörüne lisanslanıp çok yüksek riskli hedefli saldırılarda kullanılıyor.
Buldum. İlgilenenler için: iPhone’da Settings’e gidip Messages’a dokunun ve iMessage’ı Off konumuna alın.
Yine bir görüntü çözme buffer overflow’u; 2021’deki güvenlik açığına benziyor [1].
O zaman gerçekten etkileyiciydi. PDF içine gömülü karmaşık bir görüntü sıkıştırma biçiminin sunduğu ilkel işlemlerle bir CPU oluşturup, keyfi kod çalıştırmaya kadar yükseltmeye yetecek aritmetik işlemleri yapmışlardı.
[1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...
Yanlış anlaşılmasın. JPEG-XL’in iyi bir fikir olduğunu düşünüyorum; ama “bir görüntü formatını daha desteklemenin ne zararı var” diyenlere cevap bu.
Bu düzeltme bugün çıktı ve duyuruyla zamanlaması eşleştirilmiş gibi görünüyor; bu yüzden kendinizin ve çevrenizdekilerin güncellemeyi aldığından emin olmalısınız.
https://support.apple.com/en-us/HT201222
Bildiğim kadarıyla iMessage’ın tüm parsing kodu BlastDoor sandbox içinde çalışmalı; burada açıklanmamış başka bir zincirleme güvenlik açığı mı var?
NSO Group’u Ticaret Bakanlığı kara listesine almak açıkça yeterli olmamış. Bu pislikler en azından mecazi anlamda Lahey’e gitmeli.
NSO Group, Pegasus ve Citizen Lab’i merak ediyorsanız Darknet Diaries podcast’inin 100. bölümü tarihçeyi iyi özetliyor.
Merak edenler için bağlantı: https://darknetdiaries.com/episode/100/
Daha ayrıntılı bir Lockdown Mode’a ihtiyaç var. Örneğin iMessage ve Safari’de otomasyonu ve riskli unsurları kapatıp cihaz aksesuarlarının çalışmaya devam etmesini sağlamak gibi.
iMessage zero-click exploit’lerinden korunmaya çalışırken Bluetooth aksesuarlarını da kaybetmek iyi değil. iMessage en büyük açık saldırı yüzeyi.
Örneğin Settings > Messages > iMessage, sorunun iMessage olduğunu düşünüyorsanız kapatabileceğiniz bir anahtar.
Settings > Safari > Privacy and security altında da Safari için daha ayrıntılı kilitleme yapılandırabileceğiniz birkaç ayar var.
Lockdown Mode’un bu saldırıyı engelleyip engellemediğini merak ediyorum
Şimdiye kadar Lockdown Mode açık olan bir iPhone’un zero-day açığıyla hacklendiği oldu mu? Kullanıcının kandırılarak kötü amaçlı yazılım yüklemesinin sağlandığı durumlar hariç
https://techcrunch.com/2023/04/18/apple-lockdown-mode-iphone...
CL bağlantısı: https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
İlgili devam eden thread:
iOS 16.6.1 fixes two vulnerabilities known to be actively exploited in the wild - https://news.ycombinator.com/item?id=37423506 - Eylül 2023, 7 yorum