Gündem

Bazı Siteleri Ziyaret Ederseniz iPhone’nunuz Hacklenebilir!

Google ‘Project Zero’ adlı takımdaki araştırmacılar hacklenmiş siteye girmeleri için oyuna gitirildikten sonra neredeyse İOS 10’dan 12’ye kadar çalıştıran telefonları hackleyebilen beş tane İOS exploit’lerini deşifre etti.

İphone’ları iphone replikası kullanarak hedef alan bilinmeyen hacker grubu bu exploit’i yaklaşık 2 yıldır çeşitli hacklenen siteler vasıtasıyla yerleştiriyor.

Google’ın Tehdit Analiz Grubu (TAG), ‘watering hole’ saldırısı kullanarak kurbanları İOS exploit’i ile saldırması için kullanılan hacklenen sitelerin koleksiyonunu keşfetti.

Saldırganlar site ziyaretçilerine zor anlar yaşatmıyor ama basit bir şekilde cihazınıza saldırı için hacklenen sitenin exploit sunucusu için yeterli olup/olmadığını görebiliyorlar.

Bu 5 IOS exploit’i 14 farklı zaafiyet için geliştirildi. Bunların 7’si İphone’un web tarayıcısı için, 5’i sistem çekirdiği için ve 2’si de “sandbox escapes vulnerability” diye adlandırılan zaafiyet için. (Çevirisi yapılamayan terimler kalıplaştığı için ve Türkçe çevrildiğinde bir anlam ifade etmediği için çevrilmemiştir.)

“Project zero” takımı analizine istinaden, bu replikalar; iMessages, fotoğfraflar ve hacklenen İphone’daki gerçek zamanlı GPS lokasyonu gibi özel verileri çalmak için geliştirildi.

Bu exploit’lerin analizi boyunca, Google araştırmacıları şifrelenmemiş ve saldırganların aktif olarak bu zaafiyetleri exploit edebildiği 2 zero-day zaafiyetini ifşa etti.

Google, bu 2 tane zero-day açığını 1 Şubat 2019’da IOS 12.1.4’de açığa çıkan bu açığı düzeltmeleri için Apple’a 7 günlük süre tanıdı ve yama uygulamaları için uyarıda bulundu.

Bu zero-day’lar “bellek bozulması” zaafiyetini exploit ediyor ve zararlı kodu çekirdek ayrıcalıklarıyla IOS’ta çalıştırıyor ve diğer zero-day değerleri özelliklerin kazanılmasına izin veriyor.

Project zero’daki Ian Beer bu konu üzerinde dikkatle durarak, replikalarını kendi cihazında çalıştıran demo’yu içeren 5 tane yetki yükseltmesine yarayan exploit’lerin detaylı makalesini yayımladı.

Daha Fazla Göster

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir