Ünlü Pegasus casus yazılımının arkasındaki şirket, kötü amaçlı yazılımlarını kurbanların cihazlarına yerleştirmek için neredeyse her tarayıcıdaki bir güvenlik açığından yararlandı.
Son olaylar Pegasus casus yazılımının ne kadar kalıcı ve yaygın olduğunu açıkça ortaya koydu. İnce ipuçlarını kaçıranlar için net bir resim oluşturmaya çalıştık. Olayların zaman çizelgesini takip etmeye çalıştık ancak hikayenin akışını canlı tutmak için bazı ayarlamalar yaptık.
12 Eylül 2023’te, okuyucularımızı, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından istismar edildiği bilinen güvenlik açıkları kataloğuna eklenen iki Apple sorununu acilen düzeltmeye ve Chrome için kritik bir güncellemeyi uygulamaya davet eden iki blog yayınladık. Aktif olarak yararlanılan bir güvenlik açığına yönelik güvenlik düzeltmesi.
Güvenlik açıkları, CitizenLab tarafından Washington DC merkezli uluslararası ofislere sahip bir sivil toplum kuruluşunda çalışan bir kişinin cihazı kontrol edilirken sıfır gün olarak keşfedildi. Bu güvenlik açıklarına dayanan istismar zinciri, kurbanın herhangi bir etkileşimi olmadan cihazlardan ödün verme kapasitesine sahipti ve bildirildiğine göre NSO Grubu tarafından kötü şöhretli Pegasus casus yazılımını dağıtmak için kullanıldı.
Her iki güvenlik açığı da (CVE-2023-41064 ve CVE-2023-4863), WebP formatındaki görüntüleri kodlamak ve kodunu çözmek için kullanılan kod kitaplığı olan Libwebp’teki yığın arabellek taşmasını temel alıyordu. Bu kitaplık, WebP desteği eklemek için web tarayıcıları gibi diğer programlarda kullanılabilir.
Güvenlik uzmanı Ben Hawkes, güvenlik açığının bazen VP8L olarak da bilinen WebP için “kayıpsız sıkıştırma” desteğinde bulunabileceğini anladı. Kayıpsız bir görüntü formatı pikselleri %100 doğrulukla saklayabilir ve geri yükleyebilir ve WebP bunu Huffman kodlaması adı verilen bir algoritma kullanarak yapar.
Güvenlik açığı açıklamalarında gördüğümüz gibi her iki güvenlik açığı da arabellek taşması sorunlarıydı. Arabellek taşması, bir yazılım uygulamasındaki bir bellek alanı adres sınırına ulaştığında ve bitişik bir bellek bölgesine yazdığında ortaya çıkan bir tür yazılım güvenlik açığıdır.
Libwebp’in güvenlik açığı bulunan sürümleri, sabit bir tablodan önceden hesaplanmış arabellek boyutlarına dayalı bellek tahsislerini kullanıyor ve ardından gerekli Huffman tablolarını doğrudan bu tahsise oluşturuyor. Libwebp’i tüm değerleri içeremeyecek kadar küçük tablolar oluşturmaya kandıran özel hazırlanmış görüntü dosyaları oluşturarak, veriler diğer bellek konumlarına taşacaktı.
Sorunun nerede olduğunu anlayan Ben Hawkes gibi yıpranmış bir güvenlik uzmanı bile bu sorundan yararlanmanın bir yolunu bulmakta zorlandı. Bir güvenlik açığının var olduğuna dair hiçbir ipucu olmadığında bunun ne kadar zor olduğunu bir kenara bırakın. Libwebp’in açık kaynaklı bir kütüphane olması yardımcı olur, böylece ilgilenen herkes kodu inceleyebilir. Ben, kapsamlı araştırmaların bile sorunu asla ortaya çıkarmadığını açıkladı.
Birisi ya da bir grup insan kodun içine gerçekten dalmayı kendi üzerine almış olmalı. Ben şunu yazdı:
“Uygulamada bu hatanın manuel kod incelemesi yoluyla keşfedildiğinden şüpheleniyorum. Kodu incelerken, bir VP8L dosyasının başlık ayrıştırılması sırasında huffman_tables tahsisinin yapıldığını göreceksiniz, dolayısıyla doğal olarak bunun nasıl kullanıldığını görmeye çalışacaksınız. Daha sonra, huffman_tables tahsisindeki sınır kontrollerinin eksikliğini rasyonelleştirmeye çalışırsınız ve eğer yeterince ısrarcı olursanız, kodun ustaca kırıldığını fark etmeden önce, giderek sorunun daha da derinlerine inersiniz. Çoğu kod denetçisinin o kadar da ısrarcı olmadığından şüpheleniyorum; bu Huffman kodu meselesi akıllara durgunluk veriyor – bu yüzden etkilendim.”
Öte yandan, tamamen işlevsel bir istismar zinciri için nakde çevrilebilecek paranın miktarını görünce, bu işi yapmaya ve vicdanlarını bir kenara itmeye istekli fazlasıyla insan olmalı.
Üst düzey tam zincirli mobil saldırılar için 20 milyon dolar
Her ne kadar Google ve Apple bu güvenlik açığını düzeltmek için güncellemeler yayınlasa da libwebp diğer birçok uygulamada da kullanılıyor. Ve biraz zaman alabilir Android güncellemesi Her marka ve modele kadar damlar. Düzenli okuyucular, tüm mobil cihazların yaklaşık %70’inin merkezinde yer alan Android işletim sistemi için bir güncelleme olduğunda, yama boşluğu nedeniyle son kullanıcılara ulaşmanın çok uzun zaman alabileceğini biliyor olabilir. Bunun nedeni, birçok cep telefonu satıcısının cihazlarını Android’in kendi ince ayarlı sürümleriyle satması ve yamaların bu sürümlerde yayınlanmadan önce test edilmesi gerekmesidir.
Pegasus casus yazılımını pazarlayan NSO grubu, bu tür istismarları elde etmekle ilgilendiklerini gösterdi. Yıllar önce yazdığımız gibi Pegasus casus yazılımı yıllardır ortalıkta dolaşıyor ve onun varlığını göz ardı etmemeliyiz.
Bizim David Ruiz’imiz şunu yazdı:
“Pegasus’un çeşitli hükümetlerin kendi vatandaşlarına ve sakinlerine karşı baskıcı gözetleme kampanyalarında etkili olduğu bildiriliyor ve NSO Group, Pegasus’u insan hakları ihlalcilerine suç ortağı olarak sattığı yönündeki iddiaları defalarca reddetse de, sıfır tıklamalı casus yazılımın tam olarak nasıl uzlaştırıldığı konusunda bir uzlaşma sağlamak zor. E-postaları, kısa mesajları, fotoğrafları, videoları, konumları, şifreleri ve sosyal medya etkinliklerini rızasız ve görünmez bir şekilde çalan program, aynı zamanda, kullanımı sırasında dünyanın her yerindeki insanların haklarına saygı gösterebilen bir araçtır. özgürce konuşabilmek, güvenli bir şekilde bir araya gelmek ve özel olarak yaşamak.”
Pegasus yeni değil. Arkasındaki şirket 2010 yılında kuruldu ve bildirildiğine göre ilk yurtdışı müşterisini sadece bir yıl sonra kazandı. Citizen Lab yıllardır Pegasus’un yayılmasını takip ediyor, devlet müşterilerini arıyor ve casus yazılım tarafından saldırıya uğrayan mobil cihazların izini sürüyor. 2016 yılında grubun araştırmaları, Pegasus’un istismar edebileceği ciddi güvenlik açıklarını gidermek için MacOS güncellemelerinin teşvik edilmesine yardımcı oldu. 2018’de Citizen Lab ayrıca gözetim gerçekleştirmek için potansiyel olarak Pegasus’a güvenen 45 ülkeyi de tespit etti.
Eski NSA savunma yüklenicisi ve gözetleme muhbiri Edward Snowden, Pegasus Projesi’nin bulgularını öğrendikten sonra casus yazılımların küçük bir sorun olmadığı konusunda uyardı. Her yerde olduğunu söyledi.
“Buna baktığımda Pegasus Projesi’nin ortaya çıkardığı tek ürünün enfeksiyon vektörleri olduğu bir sektör değil mi? Öyle değil; bunlar güvenlik ürünleri değil. Herhangi bir koruma, herhangi bir profilaktik sağlamıyorlar.”
Snowden dedi.
“Aşı yapmıyorlar. Sattıkları tek şey virüs.”
Yalnızca Android ve iOS güvenliği hakkında rapor vermiyoruz; bunu sağlıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Android için Malwarebytes’i bugün indirerek tehditleri Android cihazlarınızdan uzak tutun. Ve iOS için Malwarebytes’i bugün indirerek tehditleri iOS cihazlarınızdan uzak tutun.