Zimperium’un yeni bir raporu, kullanıcıları, özellikle netlenmemiş ve yandan yüklü mobil uygulamalara bağlı olanlar, iOS cihazlarının karşılaştığı tehditler konusunda uyarıyor. İPhone’lar genellikle tasarımla güvenli olarak görülse de, şirketin analizi, bazı uygulamaların Apple’ın korumalarını nasıl sessizce atlayabileceğini ve kullanıcıları ve işletmeleri açığa çıkardığını ortaya koyuyor.
Gerçek dünyadaki olaylardan ve aktif tehdit araştırmalarından yararlanan rapor, saldırganların ayrıcalık yükseltme, özel API’lerin kötüye kullanılması ve Apple’ın uygulama inceleme sürecini tamamen atlayan sömürülerden bağımsız olarak IO’ları nasıl hedeflediklerini özetliyor.
Güvenilir cihazlarda gizli risk
Mobil cihazlar iş operasyonlarının merkezinde yer almıştır. Bununla birlikte, Zimperium’un belirttiği gibi, çoğu kuruluş hala en yaygın zayıf noktalardan birini göz ardı etmektedir: üçüncü taraf uygulamaları, özellikle resmi uygulama mağazasından kaynaklanmayanlar.
Zararsız görünen uygulamalar bile izinleri kötüye kullanabilir veya gizli kötü amaçlı kod taşıyabilir. Kişilerinize veya mikrofonunuza erişim isteyen bir el feneri uygulaması derhal şüphe uyandırmayabilir, ancak Zimperium bu tür taleplerin hassas veri açığa çıkmasına veya sistem uzlaşmasına yol açabileceğini vurgular.
Üçüncü taraf uygulama mağazaları ve yan yüklenmiş uygulamalar daha da büyük bir risktir. Bu uygulamalar, Apple’ın güvenlik kontrollerini atar ve belgesiz özelliklerden yararlanabilir veya kullanıcıları sessizce izleyebilecek veya kurumsal sistemlere erişebilen zararlı bileşenler yerleştirebilir.
Gerçek dünya istismarları: Trollstore, Seasshell ve Macdirtycow
Zimperium’un raporu, tehdit aktörlerinin iOS kusurlarını başarıyla kullandıkları bir dizi gerçek dünya örneğini vurgulamaktadır.
Örneğin Trollstore, değiştirilmiş yetkilere sahip uygulamaları silmek için Apple’ın Coretrust ve AMFI modüllerinde bilinen güvenlik açıklarını kullanır. Normalde sistem düzeyinde işlevlerle sınırlı olan bu haklar, bir uygulamanın kum havuzunu atlamasına veya kullanıcılara algılamadan casusluk yapmasına izin verebilir.
Trollstore aracılığıyla dağıtılan uygulamalar genellikle zararsız araçlar olarak gizlenir, ancak sistem günlüklerine gizlice erişebilir, ses kaydetebilir veya harici sunuculara bağlanabilir. Bu tam cihaz uzlaşması için kapıyı açar.
Bu tekniğe dayanan böyle bir çerçeve, saldırganlara tehlikeye atılmış iPhone’ların uzaktan kumandasını sağlayan halka açık bir sisonma sonrası aracı olan Seashell’dir. Seashell, tehdit aktörlerinin verileri çıkarmasına, cihazda devam etmesine ve güvenli bir bağlantı kullanarak dosyaları manipüle etmesine izin verir. Zimperium, deniz kıyısının gayri resmi kanallar aracılığıyla paylaşılmasına dayanan canlı kötü amaçlı yazılım örneklerini zaten gözlemlemiştir.
Başka bir durum olan MacdirtyCow (CVE-2022-46689), iOS çekirdeğinde korunan sistem dosyalarında geçici değişikliklere izin veren bir yarış koşulu içerir. Değişiklikler yeniden başlatılmasa da, iOS izinlerini veya bypass kısıtlamalarını kurcalayacak kadar uzunlar. KFD olarak bilinen daha yeni bir güvenlik açığı, benzer yöntemleri kullanarak güncellenen iOS sürümlerini hedefler.
Bu istismarlar birlikte, saldırganların kullanıcının verdiklerinin çok ötesinde, genellikle net izler bırakmadan erişimi nasıl artırabileceğini gösterir.
İşletmeler neden umursamalı
Bahisler yüksek. Uygulama tabanlı saldırıların neden olduğu veri ihlalleri, finansal kayıplara, düzenleyici cezalara ve itibara uzun vadeli hasarlara neden olabilir. Sağlık veya finans gibi katı uyum kurallarına göre yönetilen endüstriler özellikle risk altındadır.
Zimperium, özel haklar kullanarak 40.000’den fazla uygulama tespit ettiğini ve 800’den fazla özel API’ye dayandığını bildirdi. Bunlardan bazıları meşru şirket içi araçlar olsa da, birçoğu değildir. Uygun veteriner olmadan, güvenli uygulamaları tehlikeli uygulamalardan ayırmak neredeyse imkansız hale gelir.
Uygulama Güvenliği Nasıl Güçlendirilir
Zimperium, kuruluşların çok katmanlı bir yaklaşım benimsemesini önerir:
- Sıkı uygulama veterinerini uygulayın Kurumsal cihazlarda uygulamalara izin vermeden önce. Bu, ayrıcalık kötüye kullanımı, API kötüye kullanımı veya kum havuzu kaçırma gibi şüpheli davranışları yakalamak için statik ve dinamik analizleri içerir.
- Monitör İzinleri ve işlevleri tarafından haklı olmayan aşırı erişim isteyen uygulamaları reddedin.
- Kenar yüklü uygulamaları ve üçüncü taraf mağaza kullanımını algılamakötü amaçlı yazılım için yaygın yollar.
- Geliştirici kimlik bilgilerini analiz edin Uygulamanın kaynağını doğrulamak ve itibar risklerini tanımlamak.
Buna ek olarak, Zimperium’un Mobil Tehdit Savunma (MTD) platformu, yan yüklenmiş uygulamalar, sistem uzlaşması ve davranışsal anomaliler için otomatik algılama sunar. Bu araçlar tehditleri erken tanımlamaya ve yayılmadan önce kötü niyetli etkinlikleri engellemeye yardımcı olur.
Sırada ne var?
Saldırganlar mobil güvenliği atlamanın yeni yollarını bulmaya devam ettikçe, kuruluşlar odağını reaktif kontrollerden önleyici analize kaydırmalıdır. Uygulama veteriner artık isteğe bağlı değil, mobil uç noktaları güvence altına almanın önemli bir parçasıdır.
Dolaşımdaki Trollstore ve Seasshell gibi aktif tehditler ve MacDirtycow ve KFD gibi istismarlar hala istismar ediliyor, mobil güvenlik ekiplerinin hata için çok az yeri var. Zimperium’un mesajı açıktır: Sadece iOS’ta çalıştığı için bir uygulamaya güvenmeyin. Ne yaptığını, nereden geldiğini ve nasıl davrandığını bilin.
Daha fazla teknik bilgi için Zimperium’un blog yayınını ziyaret edin.