BLASTPASS İphone Exploit

BLASTPASS NSO Grubu iPhone Sıfır Tıklama (Zero-Click), Sıfır Gün (Zero-Day) Exploit’ini yakladı.

Eylül 2023’te, Washington DC merkezli, uluslararası ofisleri olan bir sivil toplum kuruluşunda çalışan bir kişinin cihazını kontrol eden Citizen Lab, NSO Grubu’nun Pegasus paralı asker casus yazılımını dağıtmak için aktif olarak yararlanılan bir sıfır tıklama güvenlik açığını buldu.

BLASTPASS İstismar Zinciri

İstismar zincirine BLASTPASS adını veriyoruz. Bu istismar zinciri, kurbanın herhangi bir etkileşimi olmadan iOS’un en son sürümünü (16.6) çalıştıran iPhone’ları tehlikeye atabilecek kapasitedeydi.

Bu istismar, saldırganın iMessage hesabından kurbana gönderilen kötü amaçlı görüntüleri içeren PassKit eklerini içeriyordu.

Citizen Lab bulgularını Apple’a bildirdiklerini ve araştırmalarına yardımcı olduğunu belirmişlerdir.

Apple, bu istismar zinciriyle ilgili iki CVE yayınladı (CVE-2023-41064 ve CVE-2023-41061)

Apple Cihazlarını Şimdi Güncelleyin

Herkesin cihazlarını güncellemeleri gerekmektedir.

Kim oldukları veya yaptıkları nedeniyle artan riskle karşı karşıya kalabilecek herkesi Kilitleme Modu’nu etkinleştirmeye teşvik ediyoruz.

Kilitleme Modunun bu özel saldırıyı engellediğine inanılmaktadır ve Apple’ın Güvenlik Mühendisliği ve Mimarisi ekibi de bunu doğrulamışlardır.

Ağır Hedefli Sivil Toplum: Siber Güvenlik Erken Uyarı Sistemi

Bu son bulgu, sivil toplumun son derece karmaşık istismarlar ve paralı casus yazılımlar tarafından hedef alındığını bir kez daha göstermektedir.

Apple’ın güncellemesi dünya genelindeki düzenli kullanıcılara, şirketlere ve hükümetlere ait cihazların güvenliğini sağlamakta. BLASTPASS keşfi, sivil toplum kuruluşlarını desteklemenin kolektif siber güvenliğimize sağladığı inanılmaz değeri vurgulamaktadır.

CVE-2023-41064, kötü amaçlarla oluşturulmuş görüntüler işlenirken tetiklenen bir arabellek taşmasıdır; CVE-2023-41061 ise kötü amaçlı ekler yoluyla yararlanılabilecek bir doğrulama sorunudur.

Her ikisi de tehdit aktörlerinin yama yapılmamış iPhone ve iPad cihazlarında rastgele kod yürütmesine olanak tanımaktadır.

Apple, iyileştirilmiş mantık ve bellek kullanımıyla macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 ve watchOS 9.6.2’deki kusurları giderdi.

 

Etkilenen cihazların listesi şunlardır:

iPhone 8 ve sonrası

iPad Pro (tüm modeller), iPad Air 3. nesil ve üzeri, iPad 5. nesil ve üzeri ve iPad mini 5. nesil ve üzeri

macOS Ventura çalıştıran Mac’ler

Apple Watch Series 4 ve sonraki modeller

Comments are closed