Casus Yazılım Satıcıları, Android ve iOS Aygıtlarında Sıfırıncı Gün Güvenlik Açıklarından Yararlanırken Yakalandı

10 Ağu 2022
168
100
zero-day.png

Merhaba TurkHackTeam üyeleri, bugunki konumuz casus yazılım başlıklı bilgilendirme yazısı.

Google'ın Tehdit Analiz Grubu (TAG), geçen yıl ele alınan bir dizi sıfır gün güvenlik açığının ticari casus yazılım satıcıları tarafından Android ve iOS cihazlarını hedeflemek için kullanıldığını ortaya çıkardı.

"Gözetleme teknolojilerinin kullanımı ulusal veya uluslararası yasalar kapsamında yasal olsa da, hükümetler tarafından genellikle muhalifleri, gazetecileri, insan hakları çalışanlarını ve muhalefet partisi politikacılarını hedef almak için kullanıldığı tespit edildi."

İki operasyondan ilki Kasım 2022'de gerçekleşti ve İtalya, Malezya ve Kazakistan'da bulunan kullanıcılara SMS mesajları üzerinden kısaltılmış bağlantılar göndermeyi içeriyordu.

Tıklandıktan sonra URL'ler, alıcıları yasal haberlere veya gönderi izleme web sitelerine yeniden yönlendirilmeden önce Android veya iOS için açıklardan yararlanan web sayfalarına yönlendirdi.

iOS açıklardan yararlanma zinciri, duyarlı cihaza bir .IPA dosyası yüklemek için CVE-2022-42856 (o zaman sıfır gün), CVE-2021-30900 ve bir işaretçi kimlik doğrulama kodu (PAC) atlaması dahil olmak üzere birden çok hatadan yararlandı.

Android istismar zinciri, belirtilmemiş bir yük sağlamak için üç istismardan oluşuyordu: CVE-2022-3723, CVE-2022-4135 (kötüye kullanım sırasında sıfır gün) ve CVE-2022-38181.

Mali GPU Çekirdek Sürücüsünü etkileyen bir ayrıcalık yükseltme hatası olan CVE-2022-38181, Ağustos 2022'de Arm tarafından yamalanırken, yamanın yayınlanmasından önce rakibin kusur için bir istismara sahip olup olmadığı bilinmiyor.


Bir diğer dikkat edilmesi gereken nokta ise, linke tıklayıp Samsung İnternet Tarayıcısında açan Android kullanıcılarının, Intent Redirection isimli bir yöntemle Chrome'a yönlendirilmiş olması.

Aralık 2022'de gözlemlenen ikinci kampanya, açıklardan yararlanmaların SMS yoluyla Birleşik Arap Emirlikleri'nde bulunan cihazlara tek seferlik bağlantılar olarak iletildiği Samsung İnternet Tarayıcısının en son sürümünü hedefleyen birkaç sıfır gün ve n günden oluşuyordu.

İspanyol casus yazılım şirketi Variston IT tarafından kullanılanlara benzer web sayfası, sonunda sohbet ve tarayıcı uygulamalarından veri toplayabilen C++ tabanlı kötü amaçlı bir araç seti yerleştirdi.


Yararlanılan kusurlar CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266 ve CVE-2023-26083.


Açıklamalar, ABD hükümetinin federal kurumların ulusal güvenlik riski oluşturan ticari casus yazılımları kullanmasını kısıtlayan bir yürütme emrini duyurmasından sadece birkaç gün sonra geldi.
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.