Mısır’daki ticari gözetim şirketinin kullandığı 0-day açıkları

 (blog.google)
1 puan yazan GN⁺ 2023-09-23 | 1 yorum | WhatsApp'ta paylaş
  • Google’ın Threat Analysis Group (TAG) ekibi ve The Citizen Lab, ticari gözetim şirketi Intellexa tarafından geliştirilen, iPhone’lara yönelik bir 0-day saldırı zinciri keşfetti.
  • Bu saldırı zinciri, kullanıcının bilgisi olmadan cihaza Intellexa’nın Predator casus yazılımını yüklemek için kullanılıyor.
  • Apple, iOS 16.7 ve iOS 17.0.1 sürümlerinde CVE-2023-41991, CVE-2023-41992 ve CVE-2023-41993 açıklarını düzeltti; tüm iOS kullanıcılarına bu yamaları mümkün olan en kısa sürede yüklemeleri öneriliyor.
  • Saldırı zinciri, saldırganın hedefin web trafiğini ele geçirip başka bir siteye yönlendirdiği bir "ortadaki adam saldırısı" (MITM) üzerinden dağıtıldı.
  • iOS saldırı zinciri üç açıktan oluşuyordu: Safari’de ilk uzaktan kod çalıştırma, PAC atlatma ve XNU çekirdeğinde yerel ayrıcalık yükseltme.
  • Saldırganların ayrıca, MITM enjeksiyonu ve hedefe doğrudan gönderilen tek kullanımlık bağlantılar yoluyla Mısır’daki Android cihazlara Predator yükleyen bir saldırı zinciri de vardı.
  • Chrome, MITM saldırılarına karşı korunmak için web genelinde HTTPS’nin evrensel olarak benimsenmesi üzerinde çalışıyor ve tüm sayfaları HTTPS ile yüklemeyi amaçlayan bir "HTTPS-First Mode" sunuyor.
  • Bu kampanya, ticari gözetim şirketlerinin yarattığı riske ve bunların internet kullanıcılarının güvenliği üzerindeki etkisine bir örnek niteliğinde.
  • TAG, ticari casus yazılım endüstrisine karşı önlem almaya, bu konuda araştırmalar yayımlamaya ve bu çalışmayı ilerletmek için kamu ve özel sektörle iş birliği yapmaya devam etmeyi planlıyor.
  • The Citizen Lab, bu saldırıların tespit edilip analiz edilmesindeki iş birliği ve ortaklıkları nedeniyle takdir edildi; Apple’a da internet kullanıcılarının güvenliği için yamaları zamanında yayımladığı için teşekkür edildi.

İlgili okumalar

1 yorum

 
GN⁺ 2023-09-23
Hacker News görüşleri
  • Mısır'daki ticari bir gözetim şirketinin 0-day açıklarını istismar etmesiyle ilgili bir makale.
  • Android'de sandbox'tan kaçışın niteliği sorgulanıyor ve Chrome yamasına ilişkin endişeler dile getiriliyor.
  • HTTP ve tek kullanımlık bağlantıların ele geçirilmesini içeren hedefli kampanyalar saldırı vektörüydü; ancak bunun reklam kampanyaları veya spam yoluyla botnet kurmak ya da kullanıcı kimlik bilgilerini çalmak için yaygın biçimde kullanılabileceğine dair kaygılar var.
  • Saldırı, ilk payload'ı enjekte etmek için HTTP kullanıyor; ancak devlet destekli saldırganların CA veya CDN altyapısını potansiyel olarak ele geçirebileceği öne sürülüyor.
  • Google ve Apple gibi teknoloji devlerinin neden casus yazılım şirketleri ile 0-day firmalarının çalışanlarını bu tür açıkları bulmaları için işe almadığı sorgulanıyor.
  • Bu açığın, Mısır makamları tarafından cumhurbaşkanı adayı Ahmed El Tantawi'nin telefonunu hacklemek için kullanılmış olabileceğinden şüpheleniliyor.
  • Bazı kullanıcılar, güncellemeleri yüklemek ve HTTPS-Only modunu kullanmak gibi kendilerini korumaya yönelik önlemler alıyor.
  • Google'ın şirketin kullandığı alan adlarını ifşa etmiş olabileceği ve bunun bir cadı avına yol açabileceği yönünde spekülasyonlar var.
  • iOS'taki Lockdown modunun bu saldırı zincirini engellediği belirtiliyor.
  • JavaScript varsayılan olarak devre dışı bırakılırsa bu saldırının hâlâ çalışıp çalışmayacağı sorgulanıyor.