Araştırmacılar, Apple’ın iOS için en sıkı güvenlik koruması olan “Kilitleme Modu”nu alt üst etmenin bir yolunu keşfettiler.
Şirket Kilitleme Modu ilk kez geçen yıl tanıtıldıbelirgin bir artışın ardından ulus devlet tarafından geliştirilen, sıfır tıklama iPhone’lar için istismarlar. Yeni özellik, cihazın bilgisayar korsanlarının en çok sevdiği özelliklerini kapatarak veya önemli ölçüde azaltarak, örneğin diktatörlüklerin hedefindeki aktivistler ve gazeteciler gibi özellikle savunmasız kullanıcıları korumak için tasarlandı.
Ancak pratikte bu mod az sayıda tanımlanabilir işlevi etkinleştirir ve bunlardan yalnızca bir kısmı cihazın çekirdeğinde yeni korunur. Sonuç olarak, 5 Aralık’ta Jamf Threat Labs’tan analistler şunları gösterebildiler: Kilitleme Modu nasıl altüst edilirsiber saldırıların yüzeyin altında devam etmesine izin verirken aynı zamanda benzer bir kullanıcı deneyimi sunar.
Sahte Kilitleme Modu
Jamf portföy stratejisinden sorumlu başkan yardımcısı Michael Covington, “Unutulmaması gereken önemli nokta, kilitleme modunun kötü amaçlı yazılımları önleme olmadığıdır” diye açıklıyor. “Bu bir kötü amaçlı yazılım tespit aracı değil. Zaten yüklü olan kötü amaçlı yazılımları engelleyebilecek bir şey değil. Kötü amaçlı yazılımın etkinliğini sınırlayamaz ve veri sızıntısını veya komuta ve kontrol ile iletişimi durduramaz.”
Bunun yerine, saldırganların cihaza ilk tutunabilecekleri alanı büyük ölçüde azaltmak için tasarlandı. Bunu, örneğin siber saldırılarda popüler olan dosya formatları desteğini kaldırarak, iMessage’da paylaşılan bağlantılarla ilişkili önizleme penceresi gibi belirli kolaylık özelliklerini devre dışı bırakarak ve sabit portallarla Web’de gezinmeyi kısıtlayarak yapar.
Bir saldırgan zaten bir aygıtın güvenliğini ihlal etmişse, Apple’ın kilitleme modu onu başlatmayacaktır. Ancak kalıcılığı daha da zorlaştırabilir; Jamf kavram kanıtlamanın (PoC) devreye girdiği yer burasıdır.
Jamf araştırmacıları, kilitleme modunu tetiklemekten ve sürdürmekten sorumlu olan yalnızca birkaç kod parçasını belirleyip değiştirerek onu devre dışı bırakmayı başardılar ve aynı anda kullanıcıya kilitleme modunun tüm tipik tanımlayıcı özelliklerini taklit eden görsel ipuçları sundular.
Örneğin, Kilitlemeyi yürütmekten sorumlu olan yöntemi, kullanıcı alanında yeniden başlatmayı tetikleyen ‘/fakelockdownmode_on’ dosyasıyla değiştirdiler. Sabit portal Web motorunu açmaktan sorumlu işlevi ve ilk etapta kilitleme modunun durumunu görüntülemekten sorumlu işlevi bağlayarak Safari’deki kilitlemeyi taklit ettiler.
Apple’ın kilitleme modunu çekirdeğe yükselttiği iOS 17’den itibaren bu hilelerin başarılması daha zordur. Araştırmacılar, “Bu stratejik hamle, güvenliği artırmada büyük bir adımdır” diye yazdı. Çekirdek düzeyindeki kod, yalnızca kullanıcı alanındaki koddan daha yoğun bir şekilde korunmakla kalmıyor, aynı zamanda daha da önemlisi, “çekirdekte kilitleme moduyla yapılan değişiklikler, mevcut güvenlik azaltımları sayesinde genellikle sistem yeniden başlatılmadan geri alınamıyor.” Böyle bir yeniden başlatma, saldırganın ısrarı açısından felaket anlamına gelebilir.
Sektör Genelinde Güvenlik Kör Noktası
Çok az kişi kilitleme modunu kullanmaya ihtiyaç duyacaktır. Ancak hikayenin asıl amacının bu özel istismarla, hatta kilitleme modu konusunun tamamıyla pek alakası yok.
“Güvenlik araştırmaları camiasında isimlendirilmiş saldırılara çok fazla odaklanılıyor. Herkes Pegasus’la ilgileniyor. Ayrıca kimlik avı saldırıları gibi çok spesifik saldırı vektörleriyle de gerçekten ilgileniyoruz. Farklı teknikler üzerinde çok fazla çalışma yapılmadı.” Covington, kötü amaçlı yazılım tarafından bir cihazın kalıcılığını korumak ve çalıştığı ve potansiyel olarak kullanıcıya veya cihaza zarar verebileceği gerçeğine dikkat çekmemek için kullanılıyor” diye açıklıyor.
Sonuç olarak bazı güvenlik alanları çok fazla dikkat çekerken diğer potansiyel olarak önemli alanlar gözden kaçıyor.
“Kullanıcıları şirket e-postalarındaki kimlik avı saldırılarını arama konusunda eğitme konusunda o kadar iyi bir iş çıkardık ki, herkes bilinmeyen taraflardan aldıkları e-postalardan veya kısa mesajlardan, özellikle de bağlantıları varsa, gerçekten şüpheleniyor” diye açıklıyor. “Sanırım artık çalışanlarımızı, cihazlarının tehlike altında olabileceğine dair diğer göstergeleri de aramaları konusunda eğitmemiz gerekiyor, böylece tehlike işaretini kaldırabilirler.”
Covington, performans sorunları sırasında veya bir kullanıcı arayüzü öğesi yerinde görünmediğinde dikkatli olmanızı önerir. “İnsanların günlerini, gördükleri her şeyi sorgulamaları gerektiği zihniyetiyle geçirmeleri gerçekten önemli” diyor.