1 puan yazan GN⁺ 2023-09-08 | 1 yorum | WhatsApp'ta paylaş
  • Washington DC merkezli, uluslararası sivil toplum kuruluşunda çalışan bir kişinin iPhone incelemesi sırasında, NSO Group’un Pegasus casus yazılımını dağıtan aktif olarak istismar edilen bir açık tespit edildi
  • Citizen Lab’in BLASTPASS adını verdiği bu istismar zinciri, en güncel iOS 16.6’da bile kurbanın herhangi bir etkileşimi olmadan iPhone’u ele geçirebiliyordu
  • Saldırganlar, iMessage üzerinden kötü amaçlı görsel içeren bir PassKit eki göndererek sıfır tıklama enfeksiyonu denedi; Citizen Lab daha fazla analiz paylaşacağını duyurdu
  • Citizen Lab bulgularını derhal Apple ile paylaştı ve Apple ilgili açıklar için CVE-2023-41064 ile CVE-2023-41061 kimliklerini atadı
  • Apple güncellemeleri iPhone, iPad, Mac ve Apple Watch için geçerli; Citizen Lab ile Apple Security Engineering and Architecture ekibi, Lockdown Mode’un bu saldırıyı engellediğini düşünüyor

BLASTPASS istismar zinciri

  • Citizen Lab, Washington DC merkezli ve uluslararası ofisleri bulunan bir sivil toplum kuruluşu çalışanının cihazını incelerken, gerçek saldırılarda kullanılan bir sıfır tıklama açığı keşfetti
  • Bu açık, NSO Group’un Pegasus paralı casus yazılımını dağıtmak için kullanıldı
  • Citizen Lab, ilgili istismar zincirine BLASTPASS adını verdi
  • BLASTPASS, kurbanın hiçbir etkileşimi olmadan en güncel iOS 16.6 çalıştıran iPhone’ları ele geçirebiliyordu
  • Saldırı, saldırganın iMessage hesabından kurbana PassKit eki gönderilmesi şeklinde gerçekleşti
    • Ekin içinde kötü amaçlı bir görsel bulunuyordu
    • İlgili belgeler PassKit sayfasında görülebilir
  • Citizen Lab, ileride bu istismar zincirine dair daha ayrıntılı bir değerlendirme yayımlamayı planlıyor

Apple açıklaması ve CVE

  • Citizen Lab, bulgularını hemen Apple ile paylaştı ve Apple’ın soruşturmasına destek verdi
  • Apple, bu istismar zinciriyle ilgili iki CVE yayımladı
    • CVE-2023-41064

      • CVE-2023-41061

Hemen güncelleyin ve Lockdown Mode

  • Citizen Lab, tüm kullanıcılara cihazlarını derhal güncellemelerini tavsiye ediyor
  • Apple, Apple ürünleri için güncellemeler yayımladı; buna iPhone, iPad, Mac ve Apple Watch da dahil
  • Kimliği veya faaliyetleri nedeniyle daha yüksek risk altında olabilecek kullanıcılara Lockdown Mode’u etkinleştirmeleri öneriliyor
  • Citizen Lab ile Apple Security Engineering and Architecture ekibi, Lockdown Mode’un bu spesifik saldırıyı engellediğini düşünüyor
  • Citizen Lab, Apple’ın hızlı soruşturma yanıtını ve yama sürecini olumlu değerlendirdi; ayrıca mağdur ile bağlı bulunduğu kuruma iş birliği ve destekleri için teşekkür etti

Sivil toplumun hedef alınmasının gösterdiği güvenlik sinyali

  • Bu bulgu, sivil toplumun gelişmiş istismarların ve paralı casus yazılımların hedefi olmaya devam ettiğini bir kez daha gösteriyor
  • Apple güncellemeleri, dünya genelindeki sıradan kullanıcıların, şirketlerin ve devlet kurumlarının cihazlarını koruyacak
  • BLASTPASS’ın keşfi, sivil toplum kuruluşlarını desteklemenin kolektif siber güvenlik açısından büyük değer taşıdığını öne çıkarıyor

Güncelleme geçmişi

  • Gönderi, 7 Eylül Doğu Saati ile 17:42’de güncellendi
  • Güncellemede, Apple Security Engineering and Architecture ekibi ile Citizen Lab’in Lockdown Mode’un bu spesifik saldırıyı engellediğini düşündüğü bilgisi eklendi

1 yorum

 
GN⁺ 2023-09-08
Hacker News yorumları
  • Apple ve yazılım hakkında çok konuşuluyor ama NSO Group’un neden var olabildiğine dair çok az şey söyleniyor
    Neredeyse açıkça faaliyet gösteriyorlar ve pek utanıyor gibi de değiller. Yoksa bunu özgeçmişlerine koymazlardı: https://www.linkedin.com/company/nso-group/people/
    Buna bakınca “teknoloji topluluğu”nun bu tür teknoloji kullanımını fazlasıyla kolay kabullendiği hissine kapılıyorum. Hani “dünyayı daha iyi bir yer yapacağına” inandığımız teknoloji var ya

    • Pegasus’un arkasındaki NSO’yu ele alan PBS belgeseli iyi: https://www.pbs.org/wgbh/frontline/documentary/global-spywar...
      NSO, İsrail hükümeti tarafından destekleniyor gibi görünüyor. Yalnızca önceden incelenmiş hükümetlere sattıklarını söylüyorlar ama gerçekte çoğu zaman rejime karşı çıkan kişileri izleyen ve onlara zulmeden otoriter ülkelere satıyorlar
    • NSO yalnızca “teröristleri ve suçluları” hedef aldığını söylüyor; o halde yasalara uyan ve saklayacak bir şeyi olmayan bir vatandaşın endişelenmesine gerek yok, değil mi? Nasıl olsa dünyada araştırmacı gazetecilik ya da muhalefet siyaseti yapmayı bile suçluluk veya teröristlik şüphesi sayan rejimler yoktur
    • ABD şirketleri arasında kötü amaçlı yazılım/yazılım silahı satmak genel olarak yasaldır; büyük istisna, ITAR düzenlemesine tabi olması durumunda, açık kaynak olmadığı sürece yalnızca ABD hükümetine veya ITAR onaylı tedarikçilere satılabilmesidir
      NSO Group’un kötü olmasının nedeni, baskıcı rejimlere satış yapmış olması ve bu rejimlerin masum sivillere zarar vermesi için yazılımın dağıtımına aktif biçimde destek verdiği iddiasıdır. Bu eylemler ve niyet, ayrıca sorumluluk yönetimindeki başarısızlık nedeniyle yaptırıma uğramalılar; hatırladığım kadarıyla zaten yaptırım altındalar
      Ancak satıcı ve alıcının iyi niyetli olması, ürünü yalnızca yasalara uygun kullanmayı planlaması gibi birçok istisna var. Hukuki tavsiye değildir
    • Bunların önemli bir kısmı silah olarak sınıflandırıldığı için fiilen bir şirketten ziyade İsrail hükümeti satıyor demek daha doğru. Ukrayna’da Ka-52 düşürmek için de, sivil yolcu uçağı düşürmek için de kullanılabilen MANPADS’lerden farkı yok; yönünü üretici ülkenin dış politikası ve bu politikanın başarısızlıkları belirliyor
      Dünyanın yakında silahsızlanacağını beklemek için bir neden yok; bu yüzden yapılabilecek en iyi şey, bunun farkında olup politikayı demokratik yollarla etkilemeye çalışmak ve kötü fikirlerle kötü aktörleri ayıklamak
      İsrail, İran’la olası bir savaşta müttefik edinmek için Suudi Arabistan’ı sürekli yanına çekmeye çalışıyor. Suudi hava sahasından geçiş hakkı almak uğruna birkaç insan hakları aktivistini kesinlikle feda eder. Yine de son zamanlarda işler İsrail’in istediği gibi gidiyor gibi görünmüyor
    • “Teknoloji topluluğu”nu belirli bir yöne çevirecek örgütlenme gücüne sahip birbirine kenetlenmiş bir grup gibi görme eğilimi var
      Gerçekte teknoloji topluluğu çok çeşitli ve hiç de bütünlüklü değil. Örneğin birçok geliştirici temel yaşam masraflarını zar zor karşılıyor; NSO’nun ne olduğunu öğrenecek zihinsel alanları bile yok
  • Lockdown Mode’un gazeteci değilseniz ya da doğrudan ve açık bir tehlike altında değilseniz kullanılmaması gerektiğinin özellikle vurgulanması ilginç. Gerçekte kullanıcı açısından işlev farkı çok büyük değil; arka planda çalışan ve saldırı yüzeyini genişleten Apple’ın çeşitli gereksiz şeylerini kapatmaktan ibaret
    Buna rağmen herkes “herkes kullanmamalı, sadece özel kişiler kullanmalı” şeklindeki çekinceyi tekrarlıyor. Ne kıt bir kaynak ne de sıfır toplamlı bir şey. Aksine herkes kullanırsa, kullanıcıya faydası olmayan pek çok özellik kapanır, pil tasarrufu sağlanabilir ve yaygınlaştıkça belirli kullanıcıları ayırt etmek için kullanılması zorlaşır

    • iOS biraz daha kullanışsız hale geliyor. Örneğin iMessage’da birbirini eklerken böyle; Safari’nin JavaScript performansı da ciddi biçimde düşüyor
      Apple, iOS’un Android’den daha yavaş veya hantal hissedilmesinden kaçınmak isteyecektir. Ayrıca sıfır gün casus yazılımlar genelde kitlesel gözetimden çok önemli kişileri hedef aldığı için birey açısından gerçek risk düşük sayılır
      İki mod arasında bir ara denge modu olsa iyi olurdu. Gerekli bir özellik olduğunda güvenliği birkaç dakikalığına düşürmeye izin vermek gibi. Örneğin Safari, JavaScript’in yavaş olduğunu algılarsa JIT’i yeniden açmak isteyip istemediğinizi sorabilir
    • İnsanların arka plan özelliklerini kullanmasını istemeselerdi bunları en başta eklemezlerdi. Apple’ın bilerek eklediği özellikleri, bunlar “gereksiz” olsun ya da olmasın, kullanıcıların kullanmasını istemesi şaşırtıcı değil
    • Kapitalizm açısından bakarsak, güçlü biçimde vurgulanmazsa Apple’ı ilk kez kullanan bir müşteri, endişeli bir arkadaşının ya da aile üyesinin tavsiyesiyle Lockdown Mode’u varsayılan olarak açabilir; sonra da reklamı yapılan özellikler çalışmıyor diye Apple’a şikâyet edebilir veya cihazı iade edebilir
      Reel politika açısından bakarsak, baskıcı rejimlerin Apple’ın bu özelliği barındıran cihazları piyasaya sürmesine izin verme karşılığında, özelliğin aktif biçimde tanıtılmaması ya da varsayılan yapılmaması şartını koşmuş olması mümkün. Çin’de Lockdown Mode varsayılan olarak açık olsa ve çoğunluk kullansa Apple kısa sürede Çin’den kovulurdu
    • Mac’te iMessage, FaceTime ve diğer Apple hizmetlerini kullanmadığım için Lockdown Mode’u açıp kullanıyorum. Esasen yalnızca yazılım geliştirme ve YouTube videoları için kullandığım bir bilgisayar
      Web içeriklerinde de bir fark hissetmedim; bunun nedeni Safari yerine Firefox/Chrome kullanmam olabilir. Asıl istediğim şey seçenek. Örneğin iOS’ta paylaşılan fotoğraf albümlerini kullandığım için o özelliği koruyup geri kalanları kapatabilmek isterdim
    • Lockdown Mode’u açınca tuhaflaşan epey şey oldu
      Öncelikle Continuity neredeyse bozuluyor gibi ve kişisel olarak oldukça güvendiğim bir özellik. AirPlay de epey değişken hale geliyor
      Bunların hepsi ağ sorunları olabilir ama yalnızca Lockdown Mode’a geçtikten sonra başladı. Ayrıca Ekran Süresi isteklerinin çalışmaması da oldukça can sıkıcı
  • iMessage’ın bugüne kadar kaç güvenlik açığı oldu?
    Yeni kişilerden gelen ilk mesajda yalnızca düz metne izin vermenin, sonraki mesajlarda da ActiveX’ten pek farkı olmayan çılgın bir eklenti sistemi yerine çok sınırlı bir alt kümeye izin vermenin zamanı gelmedi mi?
    Üstelik tüm uygulamayı sandbox içinde çalıştırıp, ek bir koruma katmanı olarak her şeyi webview üzerinden işlemek de düşünülmeye değer.

    • Bunun zaten sorunsuz uygulanmış bir örneği var. Apple Mail istemcisi, bilinmeyen gönderenlerden gelen medyayı kullanıcı onayı olmadan render etmiyor.
      iMessage da aynı nedenle tam olarak aynı davranışı göstermeli. Önceki neslin acı şekilde öğrendiği dersleri, aynı binada çalışan açgözlü ürün yöneticilerinin yeniden öğrenmesini izlemek sinir bozucu.
    • Böyle şeylerin hâlâ tekrarlanıyor olmasına inanamıyorum. “Zero click” deniyorsa bunun görüntü veya yazı tipi gibi karmaşık payload’lardan biri olduğunu anlayabilirsiniz.
      Cevap “görüntüleri render etmeyelim” olmamalı. Görüntü gibi harici verileri parse eden bileşenlerin, girdi ne olursa olsun kötü niyetli davranış sergileyemeyeceğine güvenebilmeliyiz.
      Sandbox gerekiyorsa öyle yapılır; tüm görüntü ayrıştırıcılarını güvenli bir dille baştan yazmak ya da biçimsel olarak doğruluğunu kanıtlamak gerekiyorsa o da yapılır. Apple’ın kendi uzay programını on kez yürütecek kadar parası var; kanıtlanabilir bir görüntü kütüphanesi de yapabilir.
    • Bu, ActiveX’ten çok farklı. ActiveX için usenet’in karanlık köşelerinde yüzlerce exploit serbestçe dolaşıyordu ve tipik bodrum katı script kiddie’leri tarafından dünyanın dört bir yanındaki bilgisayarlara karşı kötüye kullanılıyordu.
      iMessage’da ise az sayıda exploit vardı; bunlar NSO gibi yerler tarafından aşırı pahalı fiyatlarla, çok az sayıdaki kötü niyetli devlet aktörüne lisanslanıp çok yüksek riskli hedefli saldırılarda kullanılıyor.
    • iOS’taki tüm süreçler sandbox içinde çalışır. Bu yüzden bu tür exploit’leri geliştirmek bu kadar zor.
    • iPhone’da iMessage’ın gerçekten kapatılıp kapatılamadığını merak etmiştim. Şu anda sadece WhatsApp kullanıyorum, güçlendirilmiş SMS ile ilgilenmiyorum.
      Buldum. İlgilenenler için: iPhone’da Settings’e gidip Messages’a dokunun ve iMessage’ı Off konumuna alın.
  • Yine bir görüntü çözme buffer overflow’u; 2021’deki güvenlik açığına benziyor [1].
    O zaman gerçekten etkileyiciydi. PDF içine gömülü karmaşık bir görüntü sıkıştırma biçiminin sunduğu ilkel işlemlerle bir CPU oluşturup, keyfi kod çalıştırmaya kadar yükseltmeye yetecek aritmetik işlemleri yapmışlardı.
    [1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...

    • Eskiden jailbreakme.com’un kullandığı iOS 4’teki TIF render hatasını da hatırlatıyor. Safari’de bir düğmeye basınca iPod touch’ın yeniden başlaması ve Cydia’nın kurulmuş olması harikaydı.
    • Bu yüzden Chrome’un hâlâ JPEG-XL’i benimsememesini daha iyi anlıyorum.
      Yanlış anlaşılmasın. JPEG-XL’in iyi bir fikir olduğunu düşünüyorum; ama “bir görüntü formatını daha desteklemenin ne zararı var” diyenlere cevap bu.
    • Yine görüntü çözmede buffer overflow. Apple’ın tehdit modellemesi yapıp fuzzing’i sonuna kadar çalıştıracağını düşünebilirsiniz ama yanılırsınız. Piyasa değeri 2,7 trilyon dolar olan bir şirket bunu yapamıyor.
    • Aptalca bir soru olabilir ama riskli olmasıyla kötü üne sahip medya decoder’ları neden iyi şekilde sandbox’a alınmış değil?
    • Güvenlik tarafını çok bilmem ama bunu asla unutamayacak gibiyim. Büyüleyici.
  • Bu düzeltme bugün çıktı ve duyuruyla zamanlaması eşleştirilmiş gibi görünüyor; bu yüzden kendinizin ve çevrenizdekilerin güncellemeyi aldığından emin olmalısınız.
    https://support.apple.com/en-us/HT201222

    • İlginç şekilde kernel güvenlik açığı gibi bir şeyden bahsedilmiyor.
      Bildiğim kadarıyla iMessage’ın tüm parsing kodu BlastDoor sandbox içinde çalışmalı; burada açıklanmamış başka bir zincirleme güvenlik açığı mı var?
    • Neden hâlâ iOS 15 için bir düzeltme olmadığını merak ediyorum. iOS 15 bu saldırıya karşı savunmasız değil mi? Yoksa güvenlik düzeltmelerinin backport edilmesi sık sık gecikiyor da ben mi bilmiyorum? Öyleyse bu exploit’i engellemek için bir workaround uygulamak gerekir mi?
  • NSO Group’u Ticaret Bakanlığı kara listesine almak açıkça yeterli olmamış. Bu pislikler en azından mecazi anlamda Lahey’e gitmeli.

  • NSO Group, Pegasus ve Citizen Lab’i merak ediyorsanız Darknet Diaries podcast’inin 100. bölümü tarihçeyi iyi özetliyor.

  • Daha ayrıntılı bir Lockdown Mode’a ihtiyaç var. Örneğin iMessage ve Safari’de otomasyonu ve riskli unsurları kapatıp cihaz aksesuarlarının çalışmaya devam etmesini sağlamak gibi.
    iMessage zero-click exploit’lerinden korunmaya çalışırken Bluetooth aksesuarlarını da kaybetmek iyi değil. iMessage en büyük açık saldırı yüzeyi.

    • iMessage, Apple’ın hendeklerinden de büyük bir parça. Apple’ın daha güvenli olabilecek yeşil balon alternatif mesajlaşma uygulamalarına izin vermesi pek olası değil.
    • Settings’te zaten zevkinize göre “Lockdown Mode’u ayarlamanıza” yarayan seçenekler var.
      Örneğin Settings > Messages > iMessage, sorunun iMessage olduğunu düşünüyorsanız kapatabileceğiniz bir anahtar.
      Settings > Safari > Privacy and security altında da Safari için daha ayrıntılı kilitleme yapılandırabileceğiniz birkaç ayar var.
  • Lockdown Mode’un bu saldırıyı engelleyip engellemediğini merak ediyorum
    Şimdiye kadar Lockdown Mode açık olan bir iPhone’un zero-day açığıyla hacklendiği oldu mu? Kullanıcının kandırılarak kötü amaçlı yazılım yüklemesinin sağlandığı durumlar hariç

  • İlgili devam eden thread:
    iOS 16.6.1 fixes two vulnerabilities known to be actively exploited in the wild - https://news.ycombinator.com/item?id=37423506 - Eylül 2023, 7 yorum