Apple, bir exploit geliştiricisine iPhone’unun devlet destekli spyware ile hedeflendiğini bildiren uyarı gönderdi

 (techcrunch.com)
2 puan yazan GN⁺ 2025-10-23 | 1 yorum | WhatsApp'ta paylaş
  • Apple, bir exploit geliştiricisine iPhone’unun devlet destekli spyware hedefi olduğuna dair bir uyarı gönderdi.
  • İlgili geliştirici, daha önce Trenchant’ta iOS sıfır-gün açıkları ve araçlarını geliştiren bir uzmandı.
  • Son aylarda benzer spyware uyarıları aldıkları tespit edilen ek exploit/spyware geliştiricileri bulundu.
  • Spyware ve sıfır-gün saldırı araçlarının yayılmasıyla, hedeflenenlerin güvenlik uzmanlarını da kapsayacak şekilde genişlediği görülüyor.
  • Şirket içindeki hackleme aracı sızıntısı iddiaları ile işten çıkarma sürecinin çakışması, haksız bir kurban seçimi olasılığını da gündeme getiriyor.

Olay özeti

  • Bu yılın başında bir exploit geliştiricisi, kişisel iPhone’unda “Apple, iPhone’unuzun hedefli bir devlet spyware saldırısının hedefi olduğu tespit edildi” şeklindeki bir mesaj görünce büyük şok yaşadı.
  • Söz konusu kişi, misilleme riskini göze almadığı için gerçek kimliğini açıklamadı ve Jay Gibson takma adını kullandı.
  • Gibson, son yıllarda Trenchant adlı, Batı hükümetlerine yönelik araçlar geliştiren firmada iOS sıfır-gün zafiyetleri ve exploit geliştirme sorumlusu olarak çalışıyordu.
  • O, spyware ve exploit geliştiricisinin doğrudan saldırı hedefi olduğu, bu alanda kaydedilmiş ilk örneklerden biri olarak öne çıkıyor.

Olaydan sonra

  • Gibson, “Ne olduğunu anlayamamanın dehşetiyle birlikte ağır bir panik ve korku yaşadım” diyerek telefonu hemen kapatıp bir kenara koydu ve yeni bir cihaz satın aldı.
  • Panikle babasına telefon açmak da dahil olmak üzere dağınık tepkiler verdiğini, o anın çok karmaşık olduğunu anlattı.
  • Gibson, TechCrunch ile yaptığı röportajda “Bu noktaya gelince, bundan sonra ne olacağını kimse bilemez” diyerek endişelerini dile getirdi.

Sektörde benzer mağdurların ortaya çıkması

  • Gibson vakasının yanı sıra, son aylarda Apple’dan spyware uyarısı alan başka spyware ve exploit geliştiricilerinin de bulunduğu yayınlanan incelemede görüldü.
  • Apple, TechCrunch’ın yaptığı yorum talebine yanıt vermedi.

Spyware ve sıfır-gün araçlarının yayılmasının etkisi

  • Gibson örneği, sıfır-gün ve spyware araçlarının geniş çapta yayılmasıyla saldırı hedeflerinin güvenlik uzmanlarına kadar çeşitlendiğini gösteriyor.
  • Spyware ve sıfır-gün geliştiricileri, araçlarının yalnızca güvenilir devlet kurumları tarafından suçlu veya teröristleri hedefleyerek kullanılacağını resmî olarak uzun süredir savunuyordu.
  • Buna karşın Toronto Üniversitesi’ne bağlı Citizen Lab, Amnesty International gibi birçok araştırma grubu, son 10 yılda bu araçların muhalif aktörler, gazeteciler, insan hakları savunucuları ve siyasi rakipler de dahil olmak üzere düzenli şekilde kullanıldığı onlarca örneği belgeledi.
  • Daha önce de güvenlik araştırmacılarının (Kuzey Kore örneği gibi) hacker gruplarının hedefi olduğu vakalar olsa da, spyware geliştiricisinin doğrudan hedef alınması hâlâ nadir bir durum.

Sızıntı suçlamaları ve iç soruşturma

Apple uyarı bildirimi sonrası

  • Uyarı alındıktan sonra Gibson, spyware saldırılarına dair adli analiz konusunda deneyimli bir uzmana danıştı.
  • İlk analizde net bir enfeksiyon izi bulunmadı; ancak uzman daha ayrıntılı bir adli inceleme önerdi.
  • Tam ve doğru analiz için Gibson’in cihazının tüm yedeği gerekiyordu, fakat Gibson gizlilik ve güvenlik endişeleri nedeniyle ek incelemeyi reddetti.
  • Son aylarda bazı spyware saldırılarında adli analizlerde net bulgu bulamama vakalarının da arttığı görülüyor.

İşten çıkarma ve iç çekişmeler

  • Gibson, Apple uyarısından yaklaşık bir ay önce, şirket içi takım oluşturma etkinliğine katılmak için Trenchant London ofisine gitmişti.
  • Girişinde, şirket yöneticisinden çifte istihdam şüphesi nedeniyle işten uzaklaştırılma ve şirketin bütün cihazlarının alınarak incelenmesi konusunda bildirildi.
  • Yaklaşık iki hafta sonra Gibson’e şirketten resmi işten çıkarma bildirimi ve tazminat önerisi sunuldu.
  • Gibson, şirketin kendi araç sızıntısı vakasının kurbanı (scapegoat) ilan edilen kişi olduğuna dair iddiada bulundu.
  • Gibson ve üç arkadaşı, Chrome ile ilgili sıfır-gün geliştirme ile ilgilerinin bulunmadığını açıkladı; iç ekip yapısının platform bazında sıkı biçimde ayrılmış olduğunu vurguladı.
  • Üç eski Trenchant meslektaşı Gibson’in işten çıkarılması, sebebi ve ekip içindeki şüphe/söylentilerin gerçek olduğunu bağımsız olarak doğruladı.

Çıkarımlar ve ek bilgiler

  • Bu olay, spyware teknolojisinin yayılmasının, güvenlik sektörünün kendi uzmanlarının bile saldırı tehdidi altında kalabileceğini gösteren bir sinyal niteliğinde.
  • Devlet ve kurumların güvenlik açıklarını silahlaştırması, iç güvenlik riskleri, geliştirici korunması gibi konularda önemli ipuçları sunuyor.
  • L3Harris (Trenchant’in ana şirketi) sözcüsü, resmi yorum yapmayı reddetti.
  • Gibson ve eski meslektaşları, onun Leak olayının sorumlusunun olmadığını ve şirketin kararı yanlış olduğunu savunuyor.

İlgili okumalar

1 yorum

 
GN⁺ 2025-10-23
Hacker News Yorumları

  • Ben bu tip şirketlerle de mülakat yaptım (haberde adı geçen şirketlerden biri değil). Hatta bana teklif verdikten sonra nasıl zafiyet istismar ettiklerini yakından görmüş biri olarak, bunun da aynı bağlamda geçtiğini tahmin ediyorum. Bu zafiyetleri yeniden satmak için geliştirmeyi vicdanen doğru bulmadığımı düşünüyorum. Bu şirketler kendi çalışanlarına bile saldırı araçlarını tereddütsüz kullanıyorsa, Kongre, mahkemeler, yatırım bankaları, BT liderleri gibi gerçek güç sahiplerine karşı da sınırsızca kullanırlar; sonucunda dünyanın en nüfuzlu insanları şantajla tehdit edilebilir. Üstelik bu şirketlerin muhalif figürlere ya da gazetecilere yönelmeyi planladıklarını da anmamız beklenmemiş.

    • Bu şirketler temelde ahlaki değerlere güçlü olan kişileri ayıklıyor; en kötü ihtimalle “başkalarını gizlice gözetlemek istiyorum” diyenleri içine alıyor. Bu gerçek ürkütücü.
    • “Bunu vicdanla geliştirilebilir mi?” diye sorulursa: karşı-aktör bilgi toplama faaliyetleri bir şekilde her zaman yapılır; CNE (bilgisayar ağı istismar faaliyeti), insan istihbarat faaliyetlerine göre maliyeti ve zararı daha düşüktür. Dünya genelinde bu teknolojinin muhalif aktörlere ve gazetecilere karşı kötüye kullanılmasının ciddi bir sorunu var. Ben de bu alanda çalışmak istemiyorum (ve artık böyle bir yeteneğim de yok). Ancak NATO üyeleri için bu sektörde çalışmanın güvenli olduğuna inananların da mantıklı argümanları var: yargı ve istihbarat kurumlarını temelden şüpheyle bakmak azınlıktır; bu alanda çalışan aileler de çoktur. Burada kritik nokta, “bizim görüşümüzün hiçbir anlamı olmaması”. Fiyatlar bu kadar öyleyse neredeyse her ülke CNE teknolojisi alabilir, NATO dışı şirketler bile bu pazarı yeterince karşılar.

  • Haberdeki “Gibson’ın zafiyet ve spyware geliştirdikten sonra doğrudan spyware saldırısına uğramış ilk belgelenmiş örnek” olabileceğine dair bölümden geçtim. Oysa son aylarda Gibson dışında da benzer şekilde hedef alınan başka spyware ve zafiyet geliştiricileri var gibi görünüyor.

  • Ben Gibson ve eski işvereni arasındaki dramanın ötesinde, Apple’in böyle bir kararı nasıl aldığına daha çok ilgileniyorum.

    • Önceki işi, Wi‑Fi sandbox veya Stingray tipi cihazlar kullanmış olabilir; ama Apple tarafında bunun iMessage/PushNotification resmi kanalından geçtiğini tespit etmişler.

  • Gibson’in “panik halindeydim” demesini okuyunca, acaba gerçek adı Jay Gibson’dır da muhabir bunu bilmediği için böyle mi yazmış diye gülümsedim.

  • “Apple, exploit geliştiricisine uyarı gönderiyor” haberi birden anlamlı hale gelmesi için birkaç kez okunmalıydı; ilk başta “Apple’ın bildirimi bir şekilde geliştiriciye saldırdı” gibi okudum, sonra “Apple’in bildirimleri aslında güvenlik açığı geliştiren geliştiriciye gidiyormuş” diye anladım.

    • Yani Apple’in geliştiriciye “açığı” bildirdiği mi anlaşılıyor? :)

  • Sonuçta biri o organizasyondaki Chrome zafiyetini sızdırmış ve bu kişi bir tür kurban seçilmiş görünüyor; ama tüm bu durumlar gerçek olmaktan çok kurgulanmış gibi hissettiriyor.

  • Bu kişinin kendisinin ya da üstündeki büyük müşterilerin bir şey sızdırıp sızdırmadığını doğrulayabilecek araçları olmasına rağmen, Apple’in “gerçekten oldu mu” diye tam olarak kontrol etmeyeceğini düşünmesi çok safça bir varsayım. Muhtemelen işin içinde bir de gözdağı amaçlı hareket vardı.

  • Gibson’in “panik halindeydim” alıntısından sonra, “detaylı adli analiz olmadan neden hedef alındığı anlaşılamaz”, “kendisinin Apple’in tehdit uyarısının Trenchant’ten ayrılışla ilişkili olduğuna inandığını” da aktardılar. İlginç tarafı şu: (1) Böyle bir şeyin kendisine olacak bir senaryo olmasını hiç düşünmemiş olması, (2) bu halde basına röportaj verirken misillemeden korkması. Açıkçası bu noktada bu işin gerçek adına meraklı olan herkesin ismi zaten biliyor olması gerek.

    • Bu hikâye bana gerçekten çok kurgu kokuyor; yoksa bu kişi sektörde çok da meşhur bir keskin nişancı olmayabilir. Normalde zafiyet araştıran biri tüm saldırı vektörlerini net bilmelidir; Trenchant gibi hassas bir firmadaysa Apple cihazını işte (en azından tamamen) kullanmaz. Ben normalde bir genel telefonla ayrı, güçlü güvenlikli bir özel telefonla çalışırım. iPhone’u router’a bağlayıp paket trafiğini izlediğinizde Apple’a giden bir sürü veri görülür, tamamen kontrol edilemeyen biçimde. Buna karşılık yurtdışına giderken yanımda taşıdığım root’lu ve de-googled Android telefonla aynı deneyi yaptığımda sadece NTP trafiği kalır, o da sadece sertifika zaman kaymasını engellemek için.

    • Bu koşullarda basına çıkmak, kişinin kaybolmasını engellemenin bir strateji hamlesi de olabilir.

  • “Gözetim yazılımını geliştiren Gibson’ın, kendisinin spy­ware’nin hedefi olduğu ilk belgelenmiş vaka” dendiğinde aklıma “leopards ate my face” mem’i geliyor; eninde sonunda bu araçlar gerçekten kullanılmak için geliştirilir.

    • Yaklaşık 20 yıldır zafiyet geliştiricilerin spyware’in birinci hedefi olması sektörde çok iyi bilinen bir gerçektir; haberi yazan kişi bu sektörü pek tanımıyor gibi görünüyor.
    • “Leopards ate my face” memesini merak ediyorsanız buradan bakabilirsiniz.
    • Tüm haber, Gibson’ın Trenchant/L3Harris’ten kovulmasından sonra çıkan “sen mi, benim mi?” tartışmasını andırıyor.

  • Benzer şekilde eski bir dönemde savunma sanayiindeki taşeron bir işte aynı şekilde hedef olmuşum; bu yüzden Gibson’e bir parça empati duyuyorum. Bu şirketler, yüksek maaş ve “iyi bir iş” vaadiyle kişileri çeker, sonra çalışanın enerjisini çekip çırparak para basar ve sorun çıkınca tüm sorumluluğu o kişiye yükler (özellikle içerdeki yolsuzluğu ya da hatayı dürüstçe rapor etmek isteyenleri derhal kovup sektörde tamamen işaretlerler). Böyle yerlerde çalışmamak en iyisi ama “iyi bir iş yapacağız” veya “kötü adamı kapacağız” gibi naif fikirle bu şirketlerin tuzağına düşenler çıkıyor ve sonunda yine “leopards ate my face” oluyor.

    • “Askerde göreve başlayıp top-secret güvenlik izni alır, LAN yönetimini yapar, subaylara PowerPoint’e görsel eklemeyi öğretirsen asla işsiz kalmazsın” sözüyle başladım. Ama gerçek iş, kısacası birilerinin PowerPoint savaşlarındaki değiştirilebilir bir parçadan ibaretti. Her toplantı yalnızca “tamam, anladım” diyenlerin tekrarı, yüksek riskli bir tiyatro gibiydi; sorumluluk bir tercihti ve sesini çıkarana anında kesildi. Milyarlarca dolarlık hata bile “öğrendiğimiz ders” denilip geçiştiriliyor, bana ise doğruluk dersi veriliyor. Bu bir “çıplak imparator” oyunu: herkes sanki boğazında bir ası taşıyormuş gibi yalnızca gizlilik kaygısıyla ürperiyor.