Google, Kötü Amaçlı Web Sitelerinin Yıllarca Gizlice iPhone’ları Hacklemek İçin Kullanıldığını Söylüyor!

Google’daki güvenlik araştırmacıları, ziyaret edildiğinde daha önce açıklanmayan bir dizi yazılım açığından yararlanarak, sessizce bir mağdurun iPhone’unu hackleyebilecekleri birçok kötü amaçlı web sitesi bulduğu söyleniliyor.

Google’ın derinlemesine yazılmış bir blog yazısında, web sitelerinin “ayrım gözetmeyen” bir saldırı olarak nitelendirdikleri kurbanları gözetmeden, haftada binlerce kez ziyaret edildiğini söyledi.

Project Zero’da bir güvenlik araştırmacısı olan Ian Beer, “Basitçe saldırıya uğramış siteyi ziyaret etmek, istismar sunucusunun cihazınıza saldırması için yeterliydi ve başarılı olursa bir izleme implantı takın” dedi.

Web sitelerinin “en az iki yıl boyunca” iPhone’ları hacklediğini söyledi.

Araştırmacılar, iPhone’larda yerleşik web tarayıcısı olan Safari’yi de içeren yedi ayrı güvenlik açığı içeren beş ayrı kullanım zinciri buldular. Beş ayrı saldırı zinciri, bir saldırganın cihaza “root” erişimi kazanmasına izin verdi ve bu olay bir iPhone’daki en yüksek erişim ve ayrıcalık olarak biliniyor. Bunu yaparken, bir saldırgan cihazın tüm özelliklerine erişerek normalde kullanıcıyı yasaklar. Bir saldırganın bilgisi veya izni olmadan bir iPhone sahibine casusluk yapmak için kötü amaçlı uygulamaları sessizce yükleyebileceği anlamına gelir.

Google analizlerine dayanarak güvenlik açıklarının bir kullanıcının fotoğraflarını ve mesajlarını çalmak aynı zamanda konumlarını gerçek zamanlı olarak takip etmek için kullanıldığını söyledi. “İmplant” kullanıcının cihazdaki kayıtlı şifreler bankasına da erişebilmesine deniliyor.

Güvenlik açıkları, iOS 10’u geçerli iOS 12 yazılım sürümüne kadar etkilediği iddia ediliyor.

Google güvenlik açıklarını Şubat ayında özel olarak açıkladı ve Apple’a hataları düzeltmek ve kullanıcılarına güncellemeleri sunmak için sadece bir hafta verdi. Güvenlik açıklarının ciddiyetinin bir göstergesi olarak, tipik olarak yazılım geliştiricilere verilen 90 günün bir bölümüdür.

Apple, altı gün sonra iPhone 5’ler ve iPad Air için iOS 12.1.4 ve sonrasında bir düzeltme yaptı. Beer, diğer hack kampanyalarının şu anda aktif olduğunu söyledi.

Genel olarak iPhone ve iPad üreticisi, güvenlik ve gizlilik konularında iyi bir başarıya sahiptir. Son zamanlarda şirket, bir iPhone’u sessizce hedefleyebilecek ve kullanıcı etkileşimi olmadan kök düzeyinde ayrıcalıklar kazanabilecek kusurları bulan güvenlik araştırmacıları için maksimum hata payı ödemesini 1 milyon dolara çıkardı. Apple’ın yeni ödül kuralları uyarınca – bu yılın sonunda yürürlüğe girecek şekilde ayarlandı Google birkaç milyon dolar ödül kazandı.