GoldPickaxe iOS Kötü Amaçlı Yazılımı Yüz Tanıma Verilerini Topluyor


Apple cihazlarının artan popülaritesi nedeniyle siber suçlular, kötü amaçlı yazılımlarla iOS ve macOS’u giderek daha fazla hedef alıyor.

App Store artık güvenli değil ve Apple’ın Avrupa’daki üçüncü taraf uygulama mağazalarına verdiği iznin kötüye kullanılması beklendiğinden iCloud yeni bir hedef.

Mevcut Android kötü amaçlı yazılımı, yüz tanıma verilerini çalan bir Truva atı olan GoldPickaxe’de görüldüğü gibi iOS’u hedef alacak şekilde değiştiriliyor.

Bilgisayar korsanları Apple cihazlarından yararlanmanın yeni yollarını buldukça, iOS kötü amaçlı yazılım analizini anlamak büyük önem taşıyor.

Uygulama yöneticileri Sileo ve Zebra
Uygulama yöneticileri Sileo ve Zebra

2019’da bulunan bir bootrom güvenlik açığı olan Checkm8, yazılım güncellemeleriyle düzeltilemeyen bir donanım hatasıdır ve saldırganların iOS güvenlik önlemlerini atlamasına ve cihazların güvenliğini aşmasına olanak tanır.

Analyze any MaliciousURL, Files & Emails & Configuration With ANY RUN Start your Analysis

Apple yeni çipler için azaltma stratejileri uygulasa da eski cihazlar bu durumdan etkilenmeye devam ediyor.

Kötü niyetli aktörler checkm8’den kaba kuvvet şifrelerini kullanıyor.

Apple aygıtları bir kimliği paylaştığından, güvenliği ihlal edilmiş bir aygıt aynı kimliğe bağlı diğer aygıtları riske atabilir; bu da tüm Apple ürünlerinde güvenli aygıtlara güncelleme yapmanın ve güçlü güvenlik uygulamaları kullanmanın önemini vurgular.

Jailbreak için bir başvuruyu yürütmek için izin talebi
Jailbreak için bir başvuruyu yürütmek için izin talebi

Adli analiz için bir iPhone’u jailbreak yapmak, standart yedeklemelerin sağladığının ötesinde uygulama verilerine erişim sağlar; bu da, “jailbreak’li” duruma ulaşmak için cihazın önyüklemesindeki güvenlik açıklarından yararlanır.

Checkm8 güvenlik açığı, tam uygulama analizi için iOS 16 çalıştıran iPhone X modellerinde kullanılabilir; burada Palera1n adlı bir araç MacOS’ta cihazı jailbreak yapmak için kullanılabilir, ancak adli tıp için, cihazda yapılan değişiklikleri en aza indirmek için daha özel bir aracı önerilir.

Uygulamayı çalıştırma izni vermek için ayarlar menüsü
Uygulamanın çalıştırılmasına izin veren ayarlar menüsü

Group-IB tarafından yapılan araştırma, iOS 16 çalıştıran A11 işlemcili bir iOS cihazının, palera1n-macos-universal bir araçla köksüz bir yöntem kullanılarak jailbreak yapılmasına yönelik talimatlar veriyor; burada devam etmeden önce cihazın tamamen sıfırlanması ve bir şifre setinin olmaması gerekiyor.

Cihaz ile bilgisayar arasında güvenilir bir bağlantı kurulduktan sonra araç, cihazı jailbreak yapmak için kullanılır ve başarılı bir jailbreak sonrasında Sileo gibi bir paket yöneticisi kurulur.

Bagbak -l komutunun çıktısı
Bagbak -l komutunun çıktısı

Frida daha sonra ayrı bir Linux tabanlı makineye kurulur ve jailbreakli cihaza bağlanmak için kullanılır.

Son olarak bagbak aracı, daha fazla analiz için istenen iOS uygulamasının (.ipa dosyası) şifresini çözmek ve cihazdan çıkarmak için kullanılır.

Checkm8 gibi donanım güvenlik açıkları, önyükleme ROM’undan yararlanarak onları kalıcı hale getirir ve yama yapılmasını zorlaştırır; bu güvenlik açıklarını hedef alan yeni güvenlik açıkları ortaya çıkar ve eski cihazları risk altında bırakır.

Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo 



Source link