iPhone kullananlara kritik uyarı! “Hemen güncelleyin!”

“Sıfır tıklama, sıfır gün” istismarı, saldırganların NSO Group’un Pegasus casus yazılımını yüklemesine imkan tanıyor; bu yazılım, maksadın kısa iletilerini okumalarına, davetleri dinlemelerine, imajları çalmalarına ve iletmelerine, pozisyonlarını takip etmelerine ve daha pek çok şeye imkan tanıyor.

Bu istismar (“Blastpass” olarak anılıyor) birinci olarak Citizen Lab tarafından keşfedildi ve çabucak Apple’a bildirildi. Pegasus’un Washington DC merkezli bir kuruluş çalışanının iPhone’una yüklemek için kullanıldığı bildirildi. Küme, “kurbanın rastgele bir etkileşimi olmadan” iOS’un en son 16.6 sürümünü çalıştıran aygıtlara ziyan verebileceğini yazdı.

iPhone kullananlara kritik uyarı! “Hemen güncelleyin!”

Apple, güvenlik açığına karşı koymak için iOS 16.6.1’i yayımladı ve sırf “kötü hedefle hazırlanmış bir ekin rastgele kod yürütülmesine neden olabileceğini” belirtti. Ayrıyeten Citizen Lab, “saldırıyı engellediğine inandığımız için risk altındaki tüm kullanıcılara Kilitleme Modunu etkinleştirmeyi düşünmelerini” bile tavsiye etti. Hücumun PassKit’i (geliştiricilerin Apple Hisse’yi uygulamalarına koymasına imkan tanıyan bir SDK), hasebiyle Blastpass ismini ve iMessage tarafından gönderilen makus maksatlı manzaraları içerdiğine inanılıyor. Açık nedenlerden ötürü Citizen Lab diğer detay yayınlamadı.

Bu istismar tıpkı vakitte Biden idaresinin bu yılın başlarında yaptığı yasağın akabinde Pegasus’u tekrar gündeme getiriyor. İsrail merkezli siber silah şirketi NSO Group tarafından geliştirilen bu yazılım, birçok ülke tarafından gazeteciler, aktivistler ve öbürleri hakkında casusluk yapmak için kullanılmasının akabinde heyecan yarattı. Berbat şöhretli bir hadisede, bunun Suudi Arabistan tarafından daha sonra Türkiye’de öldürülen gazeteci Cemal Kaşıkçı hakkında casusluk yapmak için kullanıldığı bildirildi.