iPhone kullananlara kritik uyarı! “Hemen güncelleyin!”

“Sıfır tıklama, sıfır gün” istismarı, saldırganların NSO Group’un Pegasus casus yazılımını yüklemesine imkan tanıyor; bu yazılım, amacın kısa bildirilerini okumalarına, davetleri dinlemelerine, imajları çalmalarına ve iletmelerine, pozisyonlarını takip etmelerine ve daha pek çok şeye imkan tanıyor.

Bu istismar (“Blastpass” olarak anılıyor) birinci olarak Citizen Lab tarafından keşfedildi ve çabucak Apple’a bildirildi. Pegasus’un Washington DC merkezli bir kuruluş çalışanının iPhone’una yüklemek için kullanıldığı bildirildi. Küme, “kurbanın rastgele bir etkileşimi olmadan” iOS’un en son 16.6 sürümünü çalıştıran aygıtlara ziyan verebileceğini yazdı.

iPhone kullananlara kritik uyarı! “Hemen güncelleyin!”

Apple, güvenlik açığına karşı koymak için iOS 16.6.1’i yayımladı ve sadece “kötü hedefle hazırlanmış bir ekin rastgele kod yürütülmesine neden olabileceğini” belirtti. Ayrıyeten Citizen Lab, “saldırıyı engellediğine inandığımız için risk altındaki tüm kullanıcılara Kilitleme Modunu etkinleştirmeyi düşünmelerini” bile tavsiye etti. Atağın PassKit’i (geliştiricilerin Apple Hisse’yi uygulamalarına koymasına imkan tanıyan bir SDK), hasebiyle Blastpass ismini ve iMessage tarafından gönderilen berbat gayeli imajları içerdiğine inanılıyor. Açık nedenlerden ötürü Citizen Lab diğer detay yayınlamadı.

Bu istismar tıpkı vakitte Biden idaresinin bu yılın başlarında yaptığı yasağın akabinde Pegasus’u tekrar gündeme getiriyor. İsrail merkezli siber silah şirketi NSO Group tarafından geliştirilen bu yazılım, birçok ülke tarafından gazeteciler, aktivistler ve başkaları hakkında casusluk yapmak için kullanılmasının akabinde heyecan yarattı. Makûs şöhretli bir olayda, bunun Suudi Arabistan tarafından daha sonra Türkiye’de öldürülen gazeteci Cemal Kaşıkçı hakkında casusluk yapmak için kullanıldığı bildirildi.