1 puan yazan GN⁺ 2024-04-12 | 1 yorum | WhatsApp'ta paylaş
  • Yüksek riskli kişileri hedef alan paralı casus yazılım tehdidi yeniden doğrulanırken, Apple 92 ülkedeki iPhone kullanıcılarını olası hedefli saldırılar konusunda bilgilendirdi
  • Bu bildirim, Apple ID’ye bağlı iPhone’ları uzaktan ele geçirme girişimlerinin tespit edildiğini söylüyor; ancak saldırganların kimliği ve hedef alınan ülkeler açıklanmadı
  • Apple, tespitte mutlak kesinlik olmadığını belirtmekle birlikte, bu uyarının yüksek güven düzeyine sahip olduğunu ve ciddiye alınması gerektiğini söyledi
  • Apple, 2021’den bu yana 150’den fazla ülkedeki kullanıcılara benzer bildirimler gönderdi; geçen yılın ekim ayında Hindistan’daki gazeteciler ve siyasetçilere de aynı tür uyarılar yolladı
  • Apple, önceki “state-sponsored” ifadesini “mercenary spyware attacks” olarak değiştirirken, Pegasus benzeri saldırıların sıradan kötü amaçlı yazılımlardan çok daha sofistike ve nadir olduğunu ayırdı

92 ülkedeki iPhone kullanıcılarına gönderilen tehdit bildirimi

  • Apple, çarşamba günü Pasifik saatiyle öğle vakti 92 ülkedeki bireysel kullanıcılara tehdit bildirimi gönderdi
  • Bildirim, Apple ID’ye bağlı iPhone’un bir paralı casus yazılım saldırısıyla uzaktan ele geçirilebileceği uyarısını içeriyordu
  • TechCrunch’ın gördüğü bildirime göre, saldırganın kimliği ya da kullanıcının bildirimi hangi ülkede aldığı açıklanmadı
  • Kullanıcılara iletilen temel mesajlar şunlardı
    • Saldırı, kullanıcının kim olduğu veya ne yaptığı nedeniyle onu bireysel hedef almış olabilir
    • Bu tür saldırılarda tespit sürecinde mutlak kesinliği garanti etmek zordur
    • Apple bu uyarıya yüksek derecede güveniyor ve kullanıcıların bunu ciddiye alması gerekiyor
  • Apple, saldırganların gelecekte tespitten kaçınmak için yöntemlerini değiştirebileceğini, bu nedenle bildirimin neden gönderildiğine dair daha fazla ayrıntı veremeyeceğini söyledi

Tekrarlanan bildirimler ve terim değişikliği

  • Apple bu tür bildirimleri yılda birkaç kez gönderiyor ve 2021’den bu yana 150’den fazla ülkedeki kullanıcılara benzer tehdit uyarıları ilettiğini destek sayfasında belirtiyor
  • Geçen yılın ekim ayında Hindistan’daki çeşitli gazeteciler ve siyasetçilere de aynı uyarı gönderildi
    • Sonrasında Amnesty International, Hindistan’daki önde gelen gazetecilerin iPhone’larında İsrailli casus yazılım şirketi NSO Group’un sızmacı casus yazılımı Pegasus’u tespit ettiğini bildirdi
    • Konuyu bilen kişilere göre, son tehdit bildirimini alanlar arasında Hindistan’daki kullanıcılar da vardı
  • Bu bildirim, birçok ülkenin seçimlere hazırlandığı bir dönemde geldi
    • Son dönemde çeşitli teknoloji şirketleri, belirli seçim sonuçlarını etkilemeye çalışan devlet destekli faaliyetlerde artış olduğu uyarısında bulundu
    • Apple’ın bildirimi ise gönderim zamanlamasına dair bir açıklama yapmıyor
  • Apple daha önce saldırganları “state-sponsored” olarak adlandırıyordu, ancak şimdi ilgili tüm ifadeleri “mercenary spyware attacks” ile değiştiriyor
  • Pegasus gibi paralı casus yazılım saldırıları, sıradan siber suçlardan veya tüketici odaklı kötü amaçlı yazılımlardan çok daha sofistike ve son derece nadir bir kategori olarak sınıflandırılıyor
  • Apple, bu tür saldırıların tespiti için yalnızca kurum içi tehdit istihbaratı ve soruşturmalarını kullandığını belirtiyor
  • İlgili kaynak: NSO’nun Pegasus casus yazılımının telefonunuzu hedef alıp almadığını kontrol eden araç

1 yorum

 
GN⁺ 2024-04-12
Hacker News yorumları
  • Böyle bir uyarı alan birinin açtığı Reddit başlığı var: https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
    İlginç olan, kendisinin sadece sıradan bir üniversite öğrencisi olduğunu iddia etmesi; gerçekten gizli ajan türünden biri olsaydı Reddit'e sormazdı, bu yüzden kulağa makul de geliyor.
    Hackerların hedefleri telefon numarası gibi ölçütlere göre seçip seçmediğini merak ediyorum. Öğrencinin yakın zamanda yeni bir numara almış olması ve bu numaranın daha önce bir hedefle bağlantılı olması ihtimalini hayal etmek mümkün. Yine de hedef olduğu bilinen numaraları devre dışı bırakmanın bir yolu olması gerekmez mi diye düşünüyorum.

    • Devlet destekli saldırganlar ya da paralı saldırganlar için neyin geçerli veya ideal bir hedef olduğu konusunda bir yanlış anlama var gibi. Bir araştırma laboratuvarında, endüstriyel üreticide, santralde, teknoloji şirketinde çalışmak ya da belirli bir profesörü tanımak bile hedef listesine girmenize yetebilir.
    • O kişi gerçekten sadece bir üniversite öğrencisi olabilir, ama gerçek hedefle bir şekilde ilişkisi de olabilir. Karmaşık bir operasyonun parçasıysa dolaylı erişim deneniyor olabilir.
    • Herkes yalnızca akademik sırları düşünüyor, ama o kişinin herhangi bir biçimde aktivist faaliyetlere dahil olup olmadığına da bakmak gerekir.
      Bir aktivisti ele geçirip güvenilirliğini sarsabiliyorsanız bu muazzam bir kabiliyet demektir. xz sıkıştırma arka kapısının da belirli bir hükümetin kendilerine karşı çıkan herhangi birini görevden düşürme ya da lekeleme yeteneği elde etme girişimi olduğunu söyleseler hiç şaşırmam.
    • O kişi geçen yaz da hedef alınmıştı. Kendisinin inandığı ya da iddia ettiği kadar ilgi çekmeyen biri olmama ihtimali yüksek.
    • Hedefin ailesinden biri ya da tanıdığı da olabilir. Hobi olarak epey açık kaynak istihbaratı (OSINT) yaptım; bir hedefi ararken bazen merkezin biraz dışındaki kişiler üzerinden üçgenleme yapmak ya da pivot etmek şeklinde ilerlenir.
  • Metaverse, paralı casus yazılımlar, yapay zeka ile savaş hedeflemesi ve ölümcül dronlara bakınca, birinin Neuromancer'ı okuyup “Ne kadar da pembe bir gelecek tasviri! Bu harika gelecek vizyonunu nasıl hayata geçiririz?” diye düşündüğünü sürekli merak ediyorum.

    • Bilimkurgu yazarı: Kitabımda Torment Nexus'u uyarı niteliğinde bir hikâye olarak icat ettim.
      Teknoloji şirketi: Klasik bilimkurgu romanı “Torment Nexus'u yaratmayın”da geçen Torment Nexus'u sonunda yaptık.
      https://twitter.com/AlexBlechman/status/1457842724128833538
    • Neuromancer'ı okuyup böyle düşünenler, muhtemelen 1984'ü okuyunca da aynı şeyi düşünen kişilerdir.
      Ya da 1984'ü okumadıkları için o uyarıyı anlayamamış kişiler olabilirler.
    • “Doğru yapmayı dert etme, önce hızlı yap, sonra düzeltiriz” diyen insanlar böyle bir gelecek yarattı.
      Ve sonunda düzeltilmedi. Görünüşe göre sürekli daha hızlı, daha ucuza zorlamaya devam ediyoruz. Ağırlığı azaltmaya devam ederseniz çok geçmeden kolları bacakları kesmeniz gerekir. Önceki yetkin bürokrat ya da yönetici yağı zaten kesip attıysa, sıradaki kişinin keseceği pek yağ kalmaz. Üstelik belli miktarda yağ aslında iyidir.
    • Endişelenecek bir şey yok. Gerçeklik ve zaman, geçmişteki bir romancının hayal edebileceğinden daha kötü bir gerçeklik yaratmanın yollarını bulacaktır. Artık Brave New World bile saf görünüyor.
    • Distopya okuyup “Bu korkunçmuş. Haklı ve erdemli tanrı-kral olarak tüm dünyayı baskı altına almalıyım ki, benim son derece dar bakış açımın anladığı doğru ve yanlışa göre iyi işlesin” diye düşünen insanların sayısı asla az olmayacak.
      Burada da “teknoloji için teknoloji”nin iyi bir şey olduğuna ya da herhangi bir teknolojinin özünde toplumun ilerlemesi olduğuna ve ilerleme === iyi olduğuna inanan çok kişi var.
  • “Apple, Apple ID'niz -xxx- ile bağlantılı iPhone'unuzun uzaktan ele geçirilmesine yönelik bir paralı casus yazılım saldırısının hedefi olduğunuzu tespit etti” gibi bir mesaj alsam, bunun bir kimlik avı dolandırıcılığının parçası olduğunu düşünürdüm.
    Böyle bir şeyin gerçek olduğunu nasıl anlayabiliriz? Normalde aldığınız diğer mesajlardan farklı görünüyorsa, sahte olduğunu düşünme ihtimaliniz daha da yüksek.
    Sonradan aşağıdaki yorumdaki gibi appleid.apple.com'a giriş yapınca doğrulanabildiğini gördüm. Bu kadarı güvenilebilir.

    • Apple'ın web sitesine göre, bir Apple tehdit bildiriminin gerçek olup olmadığını kontrol etmek için appleid.apple.com adresine giriş yapabilirsiniz. Apple bir tehdit bildirimi gönderdiyse, giriş yaptıktan sonra sayfanın üst kısmında açıkça gösterilir.
      https://support.apple.com/en-lamr/102174
    • Tıklanacak bir bağlantı yoksa ve sizi herhangi bir yere giriş yapmaya zorlamıyorsa, sadece bilgilendirme gibi durur.
      Banka kredi kartı dolandırıcılığı konusunda iletişime geçtiğinde “giriş yapmak için buraya tıklayın” gibi büyük bir düğme varsa çok şüphelenirim. Buna karşılık yalnızca bilgi veriyor, “daha fazla bilgi için en yakın şubeye başvurun” gibi bitiyor ve bağlantı ya da telefon numarası içermiyorsa daha az şüpheli olur.
    • Bir kimlik avı dolandırıcılığı telefonda böyle bir mesajı başka bir yolla göstermeyi başardıysa, o telefon büyük ihtimalle zaten hacklenmiştir ve artık güvenilemez.
    • Sonunda, iCloud'a giriş yaparsanız geçerliliğini doğrulayabileceğiniz ve orada bir bildirim banner'ı gösterileceği yazıyor.
    • Tarayıcıdaki iCloud web panelinin üst kısmında rozet ya da banner olarak gösterildiğini duydum. Görünüşe göre alınan mesajın üst tarafında da çıkıyor.
  • Pegasus ve NSO'nun hâlâ var olmasına izin verilmesini anlamıyorum. İsrailli bir şirket olduklarını biliyorum, ama yine de İsrail hükümeti bunlara karşı hiç adım attı mı? Bu fiilen haydut devlet davranışı gibi.

    • PBS Frontline'da NSO Group hakkında iyi bir belgesel var. Hükümetten onay almış durumdalar ve hatta siyasi koz olarak da kullanılıyorlar: https://m.youtube.com/watch?v=6ZVj1_SE4Mo
    • Pegasus ve NSO'ya hâlâ izin verilmesinin nedeni, onları yasaklama yetkisine sahip aktörlerin aynı zamanda en büyük müşteriler olması.
    • Bu tür şirketlerden, sadece bilinmeyen çok sayıda var. Bu durumun İsrail'le çok fazla ilgili olduğunu sanmıyorum.
    • İsrail hükümetinin yaptıkları işi onaylamadığını mı varsayıyorsun?
  • Android kullanıcıları için durum, Google bunu kamuya açıklamadığı için çok daha ciddi olabilir
    Bu olayı görünce Apple’a geçmeyi ciddi ciddi düşünüyorum. Apple güvenli olduğu için değil, kullanıcılara bu ölçüde bilgi verme iradesi gösterdiği için

    • İronik biçimde bu daha kötü de olabilir. iMessage, bu tür exploit’lerin %60’tan fazlasında muhtemelen kritik bir adım; çeşitli Unicode/PDF render motorları da birçok saldırının nedeni oluyor
      Android’in açık kaynak yapısı, bunların güvenlik araştırmacıları tarafından daha önce keşfedilme olasılığını artırıyor. Zerodium’un hâlâ iOS 0-day’lerine kıyasla Android 0-day için daha fazla para ödediğini de unutmamak gerek
      Üstelik Samsung, Google, Moto, Huawei gibi cihazlar arasında çok büyük farklar olduğu için tek bir exploit’in başarılı olması en az üç kat daha zor
    • Satır aralarını okuyunca, Apple’da enfeksiyon sonrası tüm Apple cihazlarında kök nedeni yeniden üretme olasılığı varmış gibi görünüyor; sadece bunu kamuya açık biçimde söylemiyor olabilirler
      Bu, enfeksiyon sonunda tespit edildiğinde Apple’ın zafiyetin giriş noktasını ayrıştırabileceği ve ardından aynı saldırının hedefi olmuş olabilecek cihazları saptamak için tüm cihazları yeniden tarayabileceği anlamına gelir
      Topluluk ölçeğinde, parmak izi işlevi görebilecek verileri hash’lemek mantıklı. Uç bir örnek olarak iMessage alındıktan sonraki çağrı yığını gibi basit bir şey bile mümkün olabilir
    • “Android kullanıcıları için durum çok daha ciddi olabilir” iddiası kanıt gerektiriyor
    • Google bunu uzun zamandır yapıyor. 2010 civarında böyle bir e-posta almıştım
    • Android kullanıcıları genel olarak çok daha kötü durumda mı? Olabilir. Ama günümüzde Google Pixel, güvenlik açısından Apple’a benzer seviyede; hatta bazılarına göre daha güvenli. Başkalarının da söylediği gibi Google geçmişte benzer bildirimler göndermişti
      Ayrıca Samsung, Motorola gibi diğer üreticilerin telefonlarını izleyip bildirim göndermenin Google’ın sorumluluğu olduğunu düşünmüyorum
  • “NSO Group’un Pegasus’u gibi paralı asker tipi casus yazılım saldırıları son derece nadirdir ve sıradan siber suçlardan ya da tüketiciye yönelik kötü amaçlı yazılımlardan çok daha sofistikedir”
    Öyleyse hedefte Apple uyarısı tetiklemenin kendisi de sofistike bir operasyonun parçası olabilir
    Bu tür hedefler belirli bir şekilde tepki verir ya da vermek zorunda kalır. Saklanan birini ortaya çıkarmak ve yalnızca davranışlarını gözlemlemek için bile tepki vermeye yönlendirmek demektir
    Bu hedefler sonra ne yapar? Telefon mu değiştirir? Belirli dijital servislere mi bağlanır? Olağan iletişim kanallarıyla ağlarını mı uyarır? Gözlemci açısından oldukça heyecan verici

    • Apple, web sitesinde rehberlik almak için nereye başvurulacağını öneriyor; elbette bu tür tavsiyeyi sunan tek yer Apple değil
      Apple: “Bir Apple tehdit bildirimi aldıysanız, Access Now’ın kâr amacı gütmeyen Digital Security Helpline’ı tarafından sağlanan hızlı müdahale acil güvenlik desteği gibi uzman yardımı almanızı önemle tavsiye ederiz. Apple tehdit bildirimi alanlar, web sitesi üzerinden Digital Security Helpline ile yılın her günü 24 saat iletişime geçebilir. Dış kuruluşlar Apple’ın tehdit bildirimi göndermesine neden olan bilgilere sahip değildir, ancak hedef alınan kullanıcılar için kişiselleştirilmiş güvenlik tavsiyesi verilmesine yardımcı olabilirler.”
      https://support.apple.com/en-lamr/102174
      Amnesty International: “Access Now Helpline ve Security Lab’in diğer sivil toplum ortakları da Apple bildirimi alan kişilere destek vermeye hazır.”
      https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
    • Telefonu değiştirir misin diye mi soruyorsun? 130 dolarlık bir Motorola daha iyi güvenlik sağlayabiliyorsa bence evet
      FBI 2018’de iPhone’u kırdıktan sonra bile birinin sırlarını iPhone’da saklaması şaşırtıcı
  • Gerçek mesajın nasıl göründüğünü merak ediyorsanız, bir Reddit kullanıcısı 2023’teki önceki sürümle birlikte paylaşmış. Tamamının yer aldığı söylenemez: https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...

    • Mesaj, kullanıcıya “en güncel yazılım sürümü olan iOS 16.6’ya güncelleme” yapmasını öneriyor gibi görünüyor. iPhone 7, 7 Plus, SE gibi iOS 15’in ötesine güncellenemeyen cihazların kullanıcılarına mesajın farklı gidip gitmediğini merak ediyorum
  • Bu casus yazılım, Apple ürünlerindeki mühendislik kusurları nedeniyle mi mümkün oluyor?

    • Teknik olarak öyle denebilir
      Ancak bu tür kusurların hiç olmadığı anlamlı bir yazılım şimdiye kadar var olmadı. Başka bir deyişle, bu saldırı türüne karşı iOS’un çoğu diğer platformdan daha iyi olma ihtimalinin yüksek olduğunu düşünüyorum
    • NSO Group hakkında Darknet Diaries podcast’ini dinlemek iyi olur. NSO Group, iPhone’da işe yarar zero-day’lere sahip hacker’lara 100 bin dolardan fazla ödeme yapıyor olabilir
      https://darknetdiaries.com/episode/100/
    • Bugüne kadar neredeyse tüm bilgisayar virüsleri, worm’lar vb. yazılım ürünlerindeki mühendislik kusurları nedeniyle mümkün oldu. Şu anda kullandıklarınız dahil, dünyada yapılmış tüm yazılımlarda bug vardır
    • Bence öyle. Tüm platformlarda bug’lar ve zero-day’ler var
  • Aslında neredeyse tüm ülkeler için geçerli olacak gibi; yalnızca 92 ülkeye bildirim gitmesi ilginç

    • Bazı ülkelerde kullanıcılara bu şekilde bilgi vermek yasa dışı olabilir mi? Birinin hükümet tarafından hedef alındığını kendisine bildirmek bazı ülkelerde yasa dışı olabilir diye düşünüyorum
  • Hangi 92 ülke olduğu belirtilmemiş

    • Son kullanıcı mesajında bu sayının özellikle belirtilmesini garip buldum. Geçen yılki mesajla karşılaştırınca biraz yorum içerikli bir metne kaymış gibi