Geçtiğimiz hafta, siber güvenlik araştırmacıları, iPhone kullanıcılarını hedef alan ve “DarkSword” adı verilen gelişmiş bir hacking aracını kapsayan bir saldırı kampanyasını ortaya çıkardı. Şimdi, DarkSword’un daha yeni bir versiyonunun sızdırıldığı ve GitHub’da paylaşıldığı bilgisi geldi.
Uzmanlar, bu durumun her hackerın, Apple’ın işletim sisteminin eski sürümlerini kullanan, henüz iOS 26 yazılımına güncellenmemiş iPhone kullanıcılarına kolaylıkla saldırmasına olanak tanıyacağını belirtiyor. Apple’ın eski cihazlara dair verilerine göre bu durumdan, aktif olarak kullanılan yüz milyonlarca iPhone ve iPad’in etkileneceği tahmin ediliyor.
Mobil güvenlik girişimi iVerify’nin kurucu ortağı Matthias Frielingsdorf, TechCrunch’a verdiği demeçte, “Bu kötü bir durum. Yeniden kullanmaları çok kolay,” dedi. “Artık bunun kontrol altına alınabileceğini sanmıyorum. Suçluların ve diğerlerinin bunu kullanmaya başlamasını beklemeliyiz.”
Frielingsdorf, DarkSword casus yazılımının bu yeni versiyonlarının, kendisi ve iVerify ekibi tarafından daha önce analiz edilenlerle aynı altyapıyı paylaştığını, ancak dosyaların biraz farklı olduğunu belirtti. GitHub’a yüklenen dosyalar son derece basit olup, yalnızca HTML ve JavaScript’ten oluştuğunu ve bunun da herkesin bunları birkaç dakikada veya saatte kopyalayıp kendi sunucusunda barındırabileceği anlamına geldiğini sözlerine ekledi.
“Bu istismarlar kutudan çıktığı gibi çalışacak,” diyen Frielingsdorf, “iOS hakkında uzmanlık gerekmiyor.” açıklamasında bulundu.
Daha önce DarkSword istismarını analiz eden Google’ın sözcüsü Kimberly Samra, şirketin araştırmacılarının Frielingsdorf’un değerlendirmesiyle hemfikir olduğunu kaydetti.
Siber güvenlik meraklısı bir kullanıcı olan matteyeux, TechCrunch’a yaptığı açıklamada, sızdırılan DarkSword örneklerini kullanmanın gerçekten de çok kolay olduğunu belirtti. matteyeux, bu hafta X platformunda paylaştığı bir mesajda, DarkSword’un yürürlükte olan örneğini kullanarak iOS 18 ile çalışan bir iPad mini’yi hackleyebildiğini belirtti.
Apple sözcüsü Sarah O’Rourke, TechCrunch’a yaptığı açıklamada, şirketin eski ve güncel olmayan işletim sistemlerini hedefleyen istismarı bildiğini ve bu sebeple 11 Mart’ta son güncel sürümleri çalıştıramayan cihazlar için acil bir güncelleme yayımladıklarını ifade etti.
O’Rourke, “Yazılımınızı güncel tutmak, Apple ürünlerinizin güvenliğini sağlamak için yapabileceğiniz en önemli şeydir,” dedi ve güncellenmiş yazılıma sahip cihazların bu bildirilen saldırılardan etkilenmediğini, ayrıca Kilitlenme Modu’nun da bu spesifik saldırıları engelleyeceğini belirtti.
GitHub’ı sahiplenen Microsoft’un sözcüsü, hemen bir yorum talebine yanıt vermedi.
TechCrunch’ın bağlantı vermediği kodun, aktif saldırılarda kullanılabileceği belirtildi ve birkaç yorum içerdiği, istismarların nasıl çalıştığını ve nasıl uygulanacağını açıkladığı kaydedildi. Yorumlardan biri, DarkSword üzerinde çalışan bir geliştirici tarafından yazılmış gibi görünüyor ve istismarın “iOS cihazlarından forensik olarak ilgili dosyaları HTTP üzerinden okuduğunu ve sızdırdığını” belirtiyor. Bu durum, kullanıcının iPhone veya iPad’inden bilgileri çalan ve bu verileri internet üzerinden bir saldırgan kontrolündeki sunucuya gönderen bir süreçtir.
Bir durumda, kodda “istismar sonrası aktiviteler” ifadesi geçiyor ve bu da kötü amaçlı yazılımın bir kişinin telefonuna eriştikten sonra, iletişim bilgileri, mesajlar, arama geçmişi ve Wi-Fi şifrelerini saklayan iOS anahtar zincirini alarak bunları bir sunucuya aktardığını açıklıyor.
Başka bir dosya ise, popüler bir Ukrayna giyim sitesiyle veri yüklemeye dair referanslar içeriyor, ancak TechCrunch bunun sebebini hemen belirleyemedi. DarkSword’un Rus hükümeti tarafından Ukrayna hedeflerine karşı kullanıldığı iddia ediliyor.
Söz konusu casus yazılım, iVerify, Google ve Lookout’un daha önce analiz ettiklerine göre, özel olarak iOS 18 ile çalışan iPhone ve iPad’lere karşı etkili bir şekilde çalışmakta.
Apple’ın verilerine göre, tüm iPhone ve iPad kullanıcılarının yaklaşık dörtte biri hala iOS 18 veya daha eski sürümleri kullanıyor. 2.5 milyardan fazla aktif cihazla, bu durum DarkSword saldırılarına maruz kalma riski taşıyan yüz milyonlarca kişiyi etkiliyor.
Bu yüzden Frielingsdorf, herkesin iPhone’unun işletim sistemini güncellemelerini tavsiye ediyor.
DarkSword’un keşfi, araştırmacıların “Coruna” adı verilen başka bir gelişmiş iPhone hacking aracını keşfetmesinden sadece birkaç hafta sonra gerçekleşti. TechCrunch’ın bildirdiğine göre, Coruna, L3Harris savunma müteahhidi tarafından geliştirilmiş olup, ABD hükümetine ve müttefiklerine hacking araçları sağlayan Trenchant bölümüne aittir.
