iPhone'ları 3 yıldır etkileyen saldırının detayları belli oldu
Hacker'ların iPhone'lara girerek fotoğraf, mesaj, konum gibi birçok bilgiye erişilebildiğini gösteren saldırının 2015 yılından bu yana düzenleniyor olması güvenlik uzmanlarını şaşırtırken, siber saldırının enteresan yanlarından birisi de suçu Rus hacker'lara atacak şekilde tasarlanmış olması. İşte saldırının detayları ve korunma yöntemleri...
Kullanıcıları kandırarak cihaz ele geçirme olaylarına bir yenisi daha eklendi. Hacker'lar uygulama süsü verilmiş zararlı yazılımı telefon indirterek verileri çalıyor, konum takip edebiliyorlar. Üstelik bu işi kimin yaptığı araştırıldığında da, uzmanlar bir hileyle karşılaşıyor ve kaynaklar Rusya'yı işaret ediyor, oysa Cisco'nun güvenlik ekibi Talos'a göre kaynak Rusya olmayabilir.
WHATSAPP MESAJLARINA KADAR ERİŞEBİLİYOR
Açık kaynaklı mobil cihaz yönetim (Mobile Device Management / MDM) paketi indirterek iPhone sahiplerini kandıran hacker'lar, telefon numarası, seri numarası, konum, kayıtlı kişilerin detayları, fotoğraflar, kısa mesajlar, Telegram ve WhatsApp mesajlarına erişebiliyorlar.
Saldırının keşfedildiği Hindistan'daki 13 cihazı inceleyen Cisco Talos ekibi, siber saldırının Ağustos 2015'ten bu yana aktif olduğunu ve iOS 10.2.1 ile 11.2.6 arası işletim sistemi kullanan farklı iPhone modellerinin saldırıya açık olduğunu belirttiler.
HACKER'LAR VERİLERİ NASIL ÇALIYOR?
Saldırganlar, MDM paketiyle kontrolü ele geçirerek, gerçek uygulamaların sahte sürümlerini sisteme kuruyor ve buradan da verileri topluyorlar.
Araştırmacılar halen ilk başta bu yetkilere tam erişimin nasıl elde edildiğini çözebilmiş değiller, ancak sosyal mühendislikle, yani kullanıcıyı kandırarak yapılması ihtimali üzerinde duruyorlar.
Birkaç adımda MDM yetkilerinin verilmesi ise bu düşüncenin temel sebebi. Sistemde iki farklı MDM hizmeti kullanılmış. Bunlardan birisi cihazın uzaktan kontrol edilmesini, diğeri ise uygulama kurup kaldırmayı ve bunlardan veri almayı sağlıyor.
Yöntemlerden birisi sahte güncelleme ile cihazlara Telegram ve WhatsApp kurulmasını kapsıyor. Uygulama kullanıcıya orijinal gibi gözükürken, içerisindeki kod ile verileri hacker'ların belirlediği bir kontrol sunucusuna gönderiyor.
SALDIRININ ARDINDA RUSYA MI VAR?
Saldırganların bıraktığı izlerden birisi, 2017 Eylül'e ait bir yazılım sertifikası. Burada bir Rus e-posta adresi gözüküyor ve araştırmacılar bunun hedef şaşırtmak için yapıldığını düşünüyorlar.
Saldırganların test cihazı olarak kendi telefonlarını kullandığını belirten Cisco Talos uzmanları, numaranın Vodafone Hindistan'da kayıtlı olduğunu söylüyor. Uzmanlara göre bu da büyük olasılıkla hedef şaşırtma taktiklerinden birisi, zira saldırganlar Hindistan kökenli olsalar, bu telefonu kullanarak yakalanabileceklerini bilirlerdi.
NASIL KORUNABİLİRSİNİZ?
Bu durumdan korunmak için jailbreak'li cihazları kullanmayın, sizden mağazadan uygulama kurmak dışında adımlar izlemenizi isteyen yönergeleri takip etmeyin ve elbette parolalarınızı paylaşmayın.