iPhone kullananlara kritik uyarı! “Hemen güncelleyin!”

“Sıfır tıklama, sıfır gün” istismarı, saldırganların NSO Group’un Pegasus casus yazılımını yüklemesine imkan tanıyor; bu yazılım, maksadın kısa bildirilerini okumalarına, davetleri dinlemelerine, imgeleri çalmalarına ve iletmelerine, pozisyonlarını takip etmelerine ve daha pek çok şeye imkan tanıyor.

Bu istismar (“Blastpass” olarak anılıyor) birinci olarak Citizen Lab tarafından keşfedildi ve çabucak Apple’a bildirildi. Pegasus’un Washington DC merkezli bir kuruluş çalışanının iPhone’una yüklemek için kullanıldığı bildirildi. Küme, “kurbanın rastgele bir etkileşimi olmadan” iOS’un en son 16.6 sürümünü çalıştıran aygıtlara ziyan verebileceğini yazdı.

iPhone kullananlara kritik uyarı! “Hemen güncelleyin!”

Apple, güvenlik açığına karşı koymak için iOS 16.6.1’i yayımladı ve sırf “kötü gayeyle hazırlanmış bir ekin rastgele kod yürütülmesine neden olabileceğini” belirtti. Ayrıyeten Citizen Lab, “saldırıyı engellediğine inandığımız için risk altındaki tüm kullanıcılara Kilitleme Modunu etkinleştirmeyi düşünmelerini” bile tavsiye etti. Akının PassKit’i (geliştiricilerin Apple Hisse’yi uygulamalarına koymasına imkan tanıyan bir SDK), münasebetiyle Blastpass ismini ve iMessage tarafından gönderilen makus hedefli manzaraları içerdiğine inanılıyor. Açık nedenlerden ötürü Citizen Lab öteki detay yayınlamadı.

Bu istismar birebir vakitte Biden idaresinin bu yılın başlarında yaptığı yasağın akabinde Pegasus’u tekrar gündeme getiriyor. İsrail merkezli siber silah şirketi NSO Group tarafından geliştirilen bu yazılım, birçok ülke tarafından gazeteciler, aktivistler ve başkaları hakkında casusluk yapmak için kullanılmasının akabinde heyecan yarattı. Makûs şöhretli bir olayda, bunun Suudi Arabistan tarafından daha sonra Türkiye’de öldürülen gazeteci Cemal Kaşıkçı hakkında casusluk yapmak için kullanıldığı bildirildi.