Google, Zero-Click iPhone Zafiyetini “İnanılmaz ve Korkutucu” İfadeleri ile Analiz Etti

Google, yazılım şirketi NSO Group tarafından geliştirilen güvenlik zafiyeti sayesinde iPhone’lara erişim sağlanarak casus uygulama yüklenebildiğini, tüm sürecin tek bir tıklama bile yapılmadan gerçekleştiğini belirtti.

ABD Ticaret Bakanlığı; yabancı devletlere hükümet yetkilileri, gazeteciler, iş insanları, siviller, aktivistler, akademisyenler ve elçilik çalışanlarının takip edilmesi için casus yazılım sattığı tespit edilen NSO Group‘un ABD piyasasındaki faaliyetini büyük oranda kısıtladı. Kasım ayında yaşanan bu gelişmenin yanı sıra, Apple aynı ay NSO Group adına aldığı resmi karar ile şirketin her türlü yazılım, hizmet veya cihazlarına erişimini yasaklamıştı.

Google Project Zero (GPZ) ekibi ise NSO Group’un yeni bir “zero-click” ifşasını ortaya çıkardı. iOS 14.71 ve eski versiyonları etkileyen zafiyet, GPZ tarafından “bugüne dek tespit edilen teknik altyapısı en gelişmiş zafiyetlerden biri” olarak tanımlandı.

“İnanılmaz ve korkutucu”

GPZ, zafiyeti hem “inanılmaz” hem de “korkutucu” olarak yorumladı. Zafiyet, GIF’leri yöneten, ancak komutlama yeteneklerini normalde desteklemeyen iOS bileşenlerinden biri içerisinde “tuhaf” bir benzetimli bilgisayar ortamı oluşturuyor. Yine de, saldırgan bileşen içerisinde JavaScipt benzeri bir kod çalıştırabiliyor ve rastgele bellek konumları yazıyor. Nihayetinde, iPhone cihazı hack’leniyor.

Zafiyet Kanada merkezi Citizen Lab ile Uluslararası Af Örgütü iş birliği altındaki araştırma sonucunda iPhone’un arkasındaki teknoloji şirketi Apple’a bildirildi. Araştırma, iPhone’ları ele geçirmek için kullanılan saldırıları içeren NSO’nun Pegasus mobil casus yazılım paketinin analizi sırasında tespit edildi.

Apple, CVE-2021-30860 adı verilen ve CoreGraphics bileşeninde yer alan açığı Eylül ayında 14.8 versiyonu ile yamadı. Araştırmacılar aynı zamanda NSO’nın iMessage tabanlı zer0-click zafiyetini de GPZ ile paylaştı. Söz konusu saldırı iMessage’ın GIF görsellerini desteklemek için kullandığı kodu ifşa ediyor.

GPZ araştırmacıları, NSO’nun sağladığı saldırı kabiliyetlerinin geçmişte sadece bazı devletlerin erişebildiği siber yöntemlere rakip olacak kadar güçlü olduğunu belirtti.

Pegasus’un iPhone’lara giriş için ana noktası iMessage. Bu da bir mağdurun sadece telefon numaralarını veya AppleID kullanıcı adını kullanmaları ile hedef olabilecekleri anlamına geliyor. Şüpheli bağlantılara tıklamaması gerektiğini bilen dikkatli kullanıcılar bile çaresiz kalıyor.

iMessage’da ifşa edilen zayıflık, Apple’ın GIF görselleri için yayınladığı ek içerikler üzerinden geliyor. Apple, iOS’un ImageIO kütüphanesinde normal GIF’lerin sürekli oynaması için bir “sahte gif” numarası kullanıyor. Söz konusu yöntem, aynı zamanda 20 ek görüntü kod çözücünün kullanılmasını gerektiriyor. Böylece, siber saldırganlar daha geniş bir saldırı zemini elde ediyor.

NSO, Apple’ın sahte gif numarasını CoreGraphics PDF derleyicisindeki zafiyetinden yararlanmak için kullanıyor. PDF, karmaşık bir yazılım olduğu ve sıkça kullanıldığı için saldırılar için ideal bir hedef oluşturduğu gibi, PDF’lerdeki JavaScript’ler zafiyetlere erişimi de kolaylaştırıyor.

Daha fazla teknik detay…

GPZ, CoreGraphics PDF derleyicisinin Javascript’i çözümleyemediğini, ancak NSO’nun CoreGraphics PDF derleyicisi içinde bir şey bulmayı başardığını belirtti. Söz konusu güçlü araç, Apple’ın görüntüleri sıkıştırmak ve tekrar normal boyuta getirmek için kullandığı JBIG2 standardı. JBIG2, geçmişte Xerox tarayıcıları tarafından sadece birkaç KB büyüklüğündeki görüntüleri PDF dosyalarına aktarmak için kullanılıyordu.

NSO’un el işçiliği ile geliştirdiği yöntemleri arasında Apple’ın CoreGraphics PDF derleyicisindeki JBIG2’ye dayanan benzetilmiş bilgisayar mimarisi de yer alıyor. Kendi bilgisayar mimarileri ile her ne kadar JBIG2 komutlama yeteneği bulundurmasa da, NSO JavaScript benzeri bir komutlama dili ile rastgele bellek konumları yazmayı başarmış durumda.

JBIG2 bir zafiyet ile kullanıldığında rastgele bellek üzerinde çalışan mantık geçitleri devrelerinin benzerini oluşturabiliyor. Kısaca, NSO tarafından kullanılan zafiyet spesifik bir bilgisayar mimarisi ve komutlaması oluşturmayı sağlıyor.

Mantıksal bit işlemlerini tanımlayan 70.000’den fazla parça komutu kullanarak, NSO kayıtlar, 64 bit birleştirme devresi ve karşılaştırıcı gibi içerikler bulunduran içeren küçük bir bilgisayar mimarisi tanımladı; ardından bu mimariyi belleği taramak, aynı zamanda aritmetik işlemler yapmak için kullandılar. Her ne kadar JavaScript kadar hızlı olmasa da, geliştirilen yöntem esasında bilgisayar ortamındaki dengi gibi işliyor.

Sandbox’tan kaçış zafiyeti için geliştirilen önyükleme operasyonları bu mantık devresini çalıştırmak için yazılırken, tüm sistem tek bir JBIG2 tabanlı baskıyı azaltma işlemine dayanan benzetilmiş ve tuhaf bir çevrede gerçekleşiyor.