Pegasus’u Durdurmamanın Suçu Apple mı?

Pegasus gibi casus yazılımları yalnızca teknoloji uzmanlarının duyduğu bir zaman vardı – çok uzun zaman önce değil. Ancak bu günlerde bir partiye giderseniz, konukların dokunulan iPhone’lardan bahsetmeleri için iyi bir şans var. Ve Apple için bir şeylerin ciddi şekilde yanlış gittiğine dair daha açık bir işaret düşünmek zor.

Pegasus’un ifşaatlarının ürkütücü yanı, görünmeyen gözetleme fikri. Açıkçası, Pegasus geliştiricisi NSO ve yazılımını kullanan ülkeler, devlet başkanlarına, aktivistlere ve siyasi gazetecilere ait telefonların içeriğiyle, ortalama bir iPhone sahibininkinden daha fazla ilgileniyorlar – ancak bir göz atabilecekleri düşüncesi korkutucu. aranan. (Endişeniz varsa, iPhone’unuza NSO’nun Pegasus casus yazılımının bulaşıp bulaşmadığını nasıl kontrol edeceğinizi okuyun.)

Pegasus, Android telefonlarda kullanılabilir ve kullanıldı, ancak iPhone’larda çalışmasına çok daha fazla dikkat edildi. Washington Post, Faslı bir muhalifin karısının iPhone 11’inin, ona bir iMessage göndererek nasıl hacklendiğini anlatıyor: sözde sıfır tıklamalı saldırı, o Fransa’dayken gerçekleşti. iOS’un en son sürümüne güncelleme bile hiçbir koruma sağlamaz.

Belki de iPhone’la bu meşguliyet, Apple’da biraz haksızdır; bu, her zaman olumsuz manşetlerdeki adil payından daha fazlasını kopyalıyor gibi görünmektedir (Macworld ABD’de Macalope, bu algıyı geri çevirir ve tehdidi “Android hakkında çok ado” olarak adlandırır), ancak bu, Cupertino şirketinin kendisi de güvenlik ve mahremiyetin en iyi örneği olarak iPhone’un bir görüntüsünü yaratmak için çok çalıştığı için tamamen haksız da sayılmaz.

Usta bilgisayar korsanları mı yoksa dikkatsiz Apple mı?

Yakın geçmişte, iPhone’un bilgisayar korsanları ve devlet gizli servislerinin saldırılarına karşı büyük ölçüde güvenli olduğu düşünülüyordu: avukatlar ve gazeteciler bile Apple’ın cihazlarındaki verilere kimsenin erişemeyeceğine dair verdiği söze çok saf bir şekilde güvendiler. Ancak ilgili soru bunun nasıl olduğu değil; soru, Apple’ı suçlayıp suçlayamayacağınızdır. Apple sadece usta bilgisayar korsanlarının kurbanı mı, yoksa Cupertino’yu yanlış reklam vaatleri, ihmal ve açgözlülük karışımıyla suçlayabilir miyiz?

Apple’dan şimdiden tepkiler geldi: Cupertino, tehdidin birçok kullanıcıyı etkilediğini reddediyor. Apple’ın güvenlik mühendisliği ve mimarisi başkanı Ivan Krstić’e göre saldırılar bunun için fazla karmaşık. Bildirilen saldırı yöntemleri çok kısa bir ömre sahip ve geliştirmesi milyonlara mal oluyor. Sonuç olarak, yalnızca az sayıda yüksek değerli birey bu şekilde saldırıya uğrayacaktır; kullanıcıların büyük çoğunluğu için bir tehdit oluşturmaz.

Bu argüman tamamen yanlış değil. 50.000 telefon numarasından oluşan veri tabanı, izlenen kişi sayısı hakkında kesin sonuçlara varılmasına izin vermemektedir, ancak NSO’nun yaklaşık 60 müşterisinin her yıl neredeyse yüz kişiyi izlediğine inanılmaktadır.

Ancak bu nispeten düşük rakamlar, Cemal Kaşıkçı’nın nişanlısı Hatice Cengiz gibi kurbanlar için pek bir teselli olmayacak. Uluslararası Af Örgütü Güvenlik Laboratuvarı tarafından yapılan analize göre, Cengiz’in iPhone’u gazeteci ve muhalifin öldürülmesinden sadece dört gün sonra birkaç kez hacklendi – NSO bunu reddetmesine rağmen.

Birçok iPhone kullanıcısı gibi Cengiz de kendisine cihazın neden diğer telefonlardan daha güvenli olduğu söylendiğini sormuş olacak. Apple defalarca yüksek düzeyde veri güvenliği sözü verdi. Bazıları bunların boş vaatler olup olmadığını merak ediyor.

iMessage ile ilgili sorunlar

Pegasus, iPhone’lara erişmek için üçüncü taraf programları kullanmaz. Kurbanlara genellikle Mesajlar (iMessage), Apple Music, Fotoğraflar, FaceTime ve Safari gibi Apple uygulamaları aracılığıyla saldırı yapılıyor ve Uluslararası Af Örgütü’nün araştırması, bilgisayar korsanları tarafından kullanılan güvenlik açıklarını iMessage’ın sağladığını gösteriyor.

Uzmanlara göre Apple, güvenlik açıklarını iMessage’dan kaldırmakta büyük sorunlar yaşıyor. Bunun bir nedeni, uygulamaya sürekli olarak yeni potansiyel saldırı noktaları sağlayan Memoji ve çıkartmalar gibi yeni işlevler sağlanması gibi görünüyor – her yeni işlev, uygulamayı kullanıcılar için daha çekici hale getirirken aynı zamanda bilgisayar korsanlarına karşı daha duyarlı hale getirir. Saldırıları kolaylaştıran kullanışlı yönler de vardır: örneğin, bir yabancının size mesaj gönderme yeteneği (ve inandırıcılığı).

Apple bu sorunları biliyor. Bunlarla başa çıkmak için, görüntü dosyalarını ve web önizlemelerini otomatik olarak kontrol eden ve kötü amaçlı yazılımlara karşı korumayı amaçlayan BlastDoor gibi yeni güvenlik özelliklerine güveniyor.

Ancak BlastDoor yeterli olmayabilir. Bazı güvenlik uzmanları, iMessage’ın tamamen devre dışı bırakılmasını önerir.

Güvenlik açıklarıyla başa çıkmak

Açıkça güvenlik açıklarıyla başa çıkmada iyileştirme için yer var.

Apple, sistem kusurlarını bildiren bağımsız araştırmacılara ödeme yapmayı teklif eden bir hata ödül programı yürütüyor. Bu mantıklı bir fikir, ancak Apple hata raporlarıyla uğraşırken cimri ve tereddütlü görünüyor. Örneğin geliştirici Nicolas Brunner, programı bir yalan olarak tanımladı; Apple’a bir hata bildirdi ve süreç 14 ay sürdü ve sonunda göz ardı edildi. “Bugün itibariyle,” diye yazıyor, “Eldeki raporun kendi yönergelerine göre çok açık bir şekilde nitelendirilmesine rağmen, Apple herhangi bir ödül ödemesini reddediyor.”

Bu özellikle korkunç çünkü iOS kusurlarını bulan araştırmacılar, diğer taraftan ödeme alabileceklerini biliyorlar. NSO’nun birlikte çalıştığı şirketler, iOS güvenlik açıkları için büyük ödüller ödeyecek.

Apple genellikle kendi yoluna gider. Örneğin, şirketin pazarlama departmanının, eski bir çalışana göre, harici güvenlik uzmanlarıyla iletişim kurarken önceden belirlenmiş belirli mesajların kullanılmasında ısrar etmesi nedeniyle, sürekli olarak yüksek güvenlik standartlarına engel teşkil ettiğine inanılıyor.

Saldırıya uğrayan tek akıllı telefon üreticisi elbette Apple değil. Pegasus, daha önce de belirtildiği gibi, Android akıllı telefonlardan vazgeçmedi. Aslında Android üzerindeki etkisi daha kötü olabilir çünkü Pegasus’un izlerini o platformda tespit etmek daha zor. Bu, iPhone’ların tespit edilen vakalar arasında bu kadar öne çıkmasının nedeni olabilir.

Ama Apple ne yapabilir? Şirket, iMessage’da yeni özelliklerden oluşan bir yangın hortumunu yönlendirme konusunda dikkatsiz görünüyor ve sohbet uygulamasını daha güvenli hale getirmesi gerekiyor. Güvenlik araştırmacılarıyla olan ilişkisi, güvenlik açıkları keşfedildiğinde küçük bir finansal harcama ve biraz iyi niyetle geliştirilebilir.

Apple’ın, Google’ın Tehdit Analizi Grubu’nun damarında aktif bir güvenlik açığı arayan kuruluş kurması faydalı olabilir. Apple, böyle bir organizasyonla sadece daha fazla güvenlik sağlamakla kalmadı, aynı zamanda imajını da iyileştirebildi. Bununla birlikte, Apple’ın pazarlama departmanı muhtemelen planı veto edecektir – bu da temel sorun hakkında bir fikir verir.

Bu makale ilk olarak Macwelt’te yayınlandı. David Price’ın çevirisi.