Apple, 21 Eylül Perşembe günü iPhone ve Mac cihazları için yeni bir yama yayınlayarak, ticari casus yazılımlar ve devlet gözetimi konusunda uzmanlaşmış araştırmacılar tarafından ortaya çıkarılan sıfır gün güvenlik açıklarını bir kez daha kilitlemek için harekete geçti.
Güncelleme, iOS’ta CVE-2023-2023-41991, CVE-2023-41992 ve CVE-2023-41993’ü ve macOS Ventura’da CVE-2023-41991 ve CVE-2023-41992’yi kapsar. Bunlar arasında iPhone XS ve sonraki sürümleri, iPad Pro 12,9 inç 2 yer alırve nesil ve sonrası, iPad Pro 10,5 inç, iPad Pro 11 inç 1st nesil ve sonrası, iPad Air 3üçüncü nesil ve sonrası, iPad 6bu nesil ve sonrası, iPad mini 5. nesil ve sonrası.
İlk güvenlik açığı olan CVE-2023-41991, kötü amaçlı bir uygulamaya imza doğrulamasını atlama yeteneği veren bir sertifika doğrulama sorunudur. İkincisi, CVE-2023-41992, aygıt çekirdeğini etkileyen bir ayrıcalık yükselmesi (EoP) güvenlik açığıdır. Üçüncüsü, CVE-2023-41993, WebKit tarayıcı motorunu etkiler ve kullanıcının kötü amaçlı bir web sitesine yönlendirilmesi durumunda bir tehdit aktörünün keyfi kod yürütmesine olanak tanır.
Apple, “bu sorunun iOS 16.7’den önceki iOS sürümlerine karşı aktif olarak kullanılmış olabileceğine dair bir rapordan haberdar olduğunu” belirtmenin ötesinde, bu sorunlardan herhangi biri hakkında çok az ayrıntı verdi.
Her üç güvenlik açığı da Google Tehdit Analiz Grubu’ndan (TAG) Maggie Stone ve Toronto Üniversitesi Munk Okulu’ndaki Citizen Lab’dan Bill Marczak’a atfediliyor.
Bu, ticari casus yazılımları ve devlet gözetimini araştıran uzman bir araştırma birimi olan Citizen Lab tarafından Apple cihazlarında açıklanan bir dizi güvenlik açığının sonuncusudur.
Citizen Lab’in katılımı genel olarak söz konusu sorunun, ilgili kişiler hakkında casusluk yapan devlet kurumları olma eğiliminde olan ticari (aynı zamanda paralı asker olarak da anılır) casus yazılım üreticilerinin müşterileri tarafından istismar edildiğini göstermektedir.
Bu durumda Citizen Lab, güvenlik açıklarının Kuzey Makedonya merkezli bir geliştirici olan Cytrox tarafından üretilen ve ABD hükümeti tarafından onaylanan ve Meta platformlarında yasaklanan Predator casus yazılımının geliştiricisi tarafından zincirlendiğini iddia etti. Cytrox’un, gözden düşmüş casus yazılım geliştiricisi NSO Group ve eski İsrail istihbarat görevlileriyle yakın ilişkisi olan kişilerle bağlantısı bulunuyor.
Apple’ın açıklamasının ardından yayınlanan yeni istihbaratta Citizen Lab, istismar zincirinin Mısırlı siyasetçi Ahmed Eltantawy’nin yaklaşan seçimlerde Başkanlığa aday olma niyetini açıkladıktan sonra hedef almak için kullanıldığını tespit ettiğini söyledi.
Araştırmacılar, Eltantawy’nin ilk olarak SMS ve WhatsApp üzerinden gönderilen bağlantılar yoluyla Cytrox tarafından hedef alındığını söyledi. Daha sonra, Ağustos ve Eylül 2023’te, Eltantawy otomatik olarak HTTPS şifrelemesi kullanmayan bir siteye yönlendirildiğinde, Vodafone Mısır mobil bağlantısı ağ enjeksiyonu yoluyla hedeflendi ve burada kötü amaçlı yük, cihazına bulaştı.
Verimatrix’in güvenlik ve tehdit araştırmasından sorumlu kıdemli başkan yardımcısı Klaus Schenk, özel casus yazılım sektörü tarafından kötüye kullanılmaları hesaba katılmasa bile, güvenlik açıklarının etkisinin, gözetleme amacıyla hedef alınma olasılıklarına bakılmaksızın bunları herhangi bir kullanıcı için son derece endişe verici hale getirmesi gerektiğini söyledi.
Schenk, “Ayrıcalık artışı, keyfi kod yürütme ve özellikle uzaktan yararlanılabilen keyfi kod yürütme, herhangi bir bilgi işlem sistemi için en tehlikeli sorunlar arasında yer alıyor” dedi. “Apple’ın saldırı vektörlerinin teknik ayrıntılarını henüz açıklamamış olması güven verici. Tehdit aktörlerinin etkili saldırılar tasarlamak için daha az bilgiye sahip olması nedeniyle, bu bilgilerin gizli tutulması, yaygın istismar riskini önemli ölçüde azaltır.
“Uzaktan kod yürütmenin gerçekleşmesi için, kullanıcının bu güvenlik açıklarından yararlanacak ve kötü amaçlı kod dağıtacak şekilde özel olarak hazırlanmış bir web sitesini ziyaret etmesi gerekir. Ayrıntılar açıklanmadığı için şu anda böyle bir saldırıyı gerçekleştirebilecek sitelerin sayısı muhtemelen çok düşüktür.
“Bununla birlikte, Apple müşterilerinin kendilerini potansiyel hedefli saldırılara karşı korumak için bu acil durum güvenlik güncellemelerini derhal yüklemeleri gerekiyor. Tehdit aktörleri eninde sonunda altta yatan kusurları anlamak için düzeltmeleri tersine çevireceğinden yamaların zamanında uygulanması kritik öneme sahiptir. Kullanıcılar, anında güncelleme yaparak, cihazlarının bu özel sıfır gün güvenlik açıklarından yararlanan saldırılar tarafından tehlikeye atılmamasını sağlarlar” dedi.
Ticari casus yazılımlara karşı duyarlılıklarından endişe duyan kullanıcılar, bu enfeksiyon zincirini ve Citizen Lab tarafından tanımlanan diğer virüs zincirlerini engellediği bilinen Apple’ın yerleşik Kilitleme Modu’nu etkinleştirmeyi düşünebilir.