TrollStore, 3 Eylül 2022’de, kullanıcıların herhangi bir uygulamayı jailbreak’li olmayan bir cihaza kalıcı olarak yüklemelerini sağlayan devrim niteliğindeki yeni bir iOS aracı olarak piyasaya sürüldü. Bu, tehdit aktörlerinin uzun zamandır beklediği bir özellik.
TrollStore’un gelmesiyle birlikte iOS cihazlarının güvenliği ciddi şekilde tehdit ediliyor. Bilginize, cihaz jailbreak’i, operatör veya üreticilerin kısıtlamalarını kaldırmak için yazılımı değiştirmek anlamına gelir.
TrollStore Neden Bir Tehdittir?
Bunun nedeni, Apple’ın politikaları nedeniyle, modlu uygulamaların dağıtımı, gerçek modlama işleminden neredeyse imkansızdı. Araç, iOS 14.0’dan 15.4.1’e kadar olan tüm iOS sürümlerini etkiler.
GitHub’da geliştiricileri şunları açıkladı:
“TrollStore, içinde açtığınız herhangi bir IPA’yı kalıcı olarak yükleyebilen, izin verilen hapsedilmiş bir uygulamadır. SADECE iOS 14.0 – 15.4.1’i (15.5b4) etkileyen CoreTrust hatası nedeniyle çalışır. NOT: TrollStore, iOS 15.5 beta 4’ten daha yüksek bir şey üzerinde ASLA çalışmayacaktır (Hayır, iOS 15.5’te, iOS 15.6’da ve kesinlikle iOS 16.x’te çalışmaz), lütfen sormayı bırakın!”
GuardSquare’e göre, yeni keşfedilen iki güvenlik açığını (CVE-2022-26766 ve CVE-2021-30937) birleştiren TrollStore, bir saldırganın kök ayrıcalıkları elde etmesine ve aracı keyfi yetkilerle imzalamasına yardımcı olur. Bu nedenle, uygulamayı keyfi izinler/özellikler ile çalıştırmak mümkün hale gelir.
GuardSquare güvenlik araştırmacısı Jan Seredynski, blog yazısında, bu aracın tanıtılmasından önce, modlu uygulama kullanıcılarının cihazlarını jailbreak yaptığını veya yeniden paketlenmiş uygulamaları yüklemek için farklı yaklaşımlar kullandığını açıkladı.
Ancak TrollStore, bu çabayı ortadan kaldırır ve kullanıcının cihazı jailbreak yapması gerekmediğinden, değiştirilmiş uygulamaları yükleme ihtiyacını önemli ölçüde azaltır. Seredynski, uygulama geliştiricileri için ciddi yansımalar olduğunu çünkü jailbreak tespiti artık “yeniden paketleme çabalarının çoğunu hafifletmek için geçerli bir geçici önlem” olarak kalmayacağını yazdı.
Ayrıca, en yaygın yeniden paketleme algılama çözümleri, bir rakibin uygulamayı rastgele bir BundleID veya TeamID ile imzalamasına olanak tanıyan CVE-2021-30937 güvenlik açığı nedeniyle sorunu algılamaz.
Tehdit Nasıl Azaltılabilir?
Yeniden paketleme algılama çözümlerinin sınırlarını TeamID ve BundleID gibi yaygın doğrulama araçlarının, örneğin iXGuard’ın ötesine genişletmesi önemlidir. TrollStore uygulamayı yeni bir sertifika ile yeniden imzaladığı için, ek kompozisyon göstergelerini doğrulamaları gerekir.
Ayrıca, uygulama varlıklarında/kodlarında yapılan fiili değişiklikleri tespit etmek önemlidir. Son olarak, birden fazla güvenlik katmanı, maksimum mobil uygulama güvenliğini sağlamalıdır.
İlgili konular
- Yeni araç, sahte 4G cep telefonu kulelerini tespit ediyor
- Yeni Underactor aracı, verileri ortaya çıkarmak için pikselli metni ortaya çıkarır
- Yeni araç, gençlerin rapor vermelerini, çıplak fotoğraflarını çevrimiçi olarak kaldırmalarını sağlar
- Microsoft’un yeni aracı, sohbetlerdeki sübyancıları algılar ve raporlar
- Cellebrite’ın yeni aracı, neredeyse tüm iOS veya Android cihazlarının kilidini açar