Siber güvenlik araştırmacılarının geçtiğimiz hafta ortaya çıkardığı DarkSword adlı gelişmiş saldırı aracı, iPhone kullanıcılarını hedef alan geniş çaplı bir kampanyayla gündeme gelmişti. Ne var ki, bu aracın daha yeni bir sürümünün GitHub üzerinde herkese açık şekilde paylaşılması, tehdidin boyutunu önemli ölçüde artırdı. Uzmanlar, söz konusu kodların artık teknik bilgisi sınırlı kişiler tarafından bile kolayca kullanılabileceğini belirtiyor. Bunun yanında, özellikle güncellenmemiş iOS sürümlerini kullanan cihazların hedef haline gelmesi dikkat çekiyor. Apple’ın verilerine göre hâlâ çok sayıda cihazın eski sürümlerde kalması, riskin kapsamını genişletiyor.
Siber güvenlik şirketi iVerify’ın kurucu ortaklarından Matthias Frielingsdorf, yayımlanan bu araçların yeniden kullanılmasının son derece kolay olduğunu ifade ediyor. Frielingsdorf’a göre söz konusu kodlar HTML ve JavaScript gibi basit bileşenlerden oluşuyor ve birkaç dakika içinde bir sunucuya kurulabiliyor. Bunun yanında, herhangi bir iOS uzmanlığı gerektirmemesi, tehdit aktörlerinin sayısını artırabilecek bir unsur olarak öne çıkıyor. Google araştırmacıları da bu değerlendirmeye katılarak, sızıntının potansiyel etkisinin oldukça geniş olabileceğine işaret ediyor.
DarkSword açığı milyonlarca eski iOS cihazı hedef alıyor
Sızdırılan kodların teknik detayları incelendiğinde, DarkSword’un iOS cihazlardan hassas verileri çekebildiği görülüyor. Kod içerisindeki açıklamalarda, kullanıcıların cihazlarından elde edilen verilerin HTTP üzerinden saldırganların kontrolündeki sunuculara gönderildiği belirtiliyor. Bununla birlikte, saldırı sonrasında gerçekleştirilen işlemler arasında rehber, mesajlar, arama geçmişi ve iOS anahtar zinciri gibi kritik bilgilerin ele geçirilmesi yer alıyor. Bu durum, kullanıcıların kişisel verilerinin yanı sıra şifre ve bağlantı bilgilerinin de risk altında olduğunu gösteriyor.
Öte yandan bağımsız güvenlik araştırmacıları da sızdırılan araçların gerçek dünyada çalıştığını doğrulamış durumda. “matteyeux” takma adını kullanan bir araştırmacı, iOS 18 yüklü bir iPad mini cihazın bu araçla kolayca ele geçirilebildiğini aktardı. Her ne kadar bu test kontrollü bir ortamda gerçekleştirilmiş olsa da, bunun sahadaki saldırılar için ciddi bir referans oluşturduğu ifade ediliyor. Buna rağmen, yalnızca güncel olmayan sistemlerin hedef alınması, düzenli güncelleme yapan kullanıcılar açısından önemli bir koruma sağlıyor.
Apple cephesinden yapılan açıklamada, eski sürümlere yönelik bu açıkların bilindiği ve 11 Mart tarihinde acil bir güvenlik güncellemesi yayımlandığı bilgisi paylaşıldı. Şirket, cihazların güncel tutulmasının en etkili güvenlik önlemi olduğunu vurgularken, en son yazılım sürümünü kullanan cihazların bu saldırılardan etkilenmediğini belirtiyor. Bunun yanında, Apple’ın “Lockdown Mode” olarak bilinen gelişmiş koruma modunun da bu tür saldırıları engelleyebildiği ifade ediliyor.
Buna ek olarak, DarkSword’un daha önce Ukrayna hedeflerine yönelik saldırılarda kullanıldığına dair bulgular bulunuyor. Kod içerisinde bir Ukrayna giyim sitesine veri yükleme referanslarının yer alması, operasyonların arka planına dair ipuçları sunuyor. Her ne kadar bu detayların tam amacı netleşmemiş olsa da, devlet destekli siber faaliyetlerle bağlantılı olabileceği ihtimali üzerinde duruluyor.
Apple’ın paylaştığı verilere göre, aktif iPhone ve iPad cihazlarının yaklaşık dörtte biri hâlâ iOS 18 veya daha eski sürümleri kullanıyor. Bu oran, dünya genelinde yüz milyonlarca cihazın potansiyel olarak savunmasız olduğu anlamına geliyor. Bununla birlikte, son dönemde ortaya çıkan Coruna gibi diğer gelişmiş iOS saldırı araçları da mobil güvenlik alanında tehdit seviyesinin yükseldiğini ortaya koyuyor. Yazılım güncellemelerinin düzenli yapılması ve gelişmiş güvenlik önlemlerinin kullanılması, bu tür risklere karşı en etkili yöntemler arasında yer alıyor.
