Güvenlik uzmanları, Apple’ın yanlışlıkla kötü amaçlı yazılımların Mac’lerde çalışması için yetki verdiğini ortaya çıkardı. Görüldükten kısa bir süre sonra düşürülen Shlayer adlı ürün, bir tür reklam virüsü olarak biliniyor.

Cupertino tabanlı teknoloji canavarı Apple, kötü amaçlı yazılımların uygulama mağazasına girmesini önlemek için son derece titiz yönergelere sahiptir. Kuruluş, bugüne kadarki en zor stratejiyi benimsedi ve mühendislerin uygulamalarını bir yıl önce teslim edilmeden önce güvenlik kontrolleri için Apple’a sunmalarını bekliyor.

Apple ‘ın “onay” olarak adlandırdığı bu döngüde, bir uygulama güvenlik ve kötü niyetli madde için filtreleniyor. Onaylandığında, Mac’in temelindeki güvenlik denetimi programı olan Gatekeeper, uygulamanın çalışmasına izin verir. Güvenlik testini bombalayan uygulamalar reddedilir ve çalışması durdurulur.

Apple Tarafından Onaylı İlk Mac Kötü Amaçlı Yazılım Bulundu:

Ünlü Mac güvenlik bilimcisi Patriwk Wardle ile birlikte çalıştığı Diminish Dantini, Adobe Flash yükleyici görünümlü bir kötü amaçlı yazılım bulduğunu söylüyor. Çok normal olan bu tür bir programlama oldukça uzun bir süredir var ve çoğu açıldığında Mac tarafından engelleniyor. Bununla birlikte, Dantini ve Wardle, tesadüfen Apple tarafından onaylanan ana ikinci Mac programlamayı bulduklarını belirtiyorlar.

Wardle, Apple’ın kötü amaçlı yazılım tarafından kullanılan kodu doğruladığını doğruladı, Kaspersky ise bunun Mac’lerin 2019’da baktığı “en normal tehlike” olduğunu söyledi. Shlayer adlı ünlü kötü amaçlı yazılım, daha güçlü tanıtımlara yardımcı olan bir tür “reklam virüsü” programlaması olarak bilinir. PC istemcilerinin web alıştırmalarını ve eğilimlerini takip ederek teknikleri.

TechCrunh’da paylaştığı bir blog yazısında Wardle, “Bildiğim kadarıyla bu bir ilk” dedi ve bunun da Apple’ın zararlı kodu gönderirken ve Mac’lerde çalışması için onayladığında tanımlamayı ihmal ettiğini ima ettiğinin altını çizdi. Daha sonra Apple, kötü amaçlı yazılımın Mac’lerde çalışmasını önleyerek onaylanan kodu düşürdü. Bir Apple temsilcisi TechCrunch’a, “Kötü amaçlı yazılım sürekli olarak değişiyor ve Apple’ın yasal resmi onay çerçevesi, kötü amaçlı yazılımları Mac’ten uzak tutmamıza ve bulunduğunda hemen tepki vermemize neden oluyor. Bu reklam virüsünü bulduktan sonra, tanınan varyasyonu kaldırın.” tasarımcı hesabı ve ilgili kimlik doğrulamalarını reddetti. Müşterilerimizin korunmasına yardımcı olan uzmanlara çok minnettarım. “

Apple kısa bir süre önce iOS ve macOS’ta bir saldırganın bir müşterinin. iCloud hesabına onaylanmamış erişimi artırmasına olanak tanıyan bir güvenlik zayıflığını düzeltti.

 BT güvenlik firması Computest’te güvenlik uzmanı olan Thijs Alkemade tarafından Şubat ayında ortaya çıkan kusur. Apple’ın TouchID (veya FaceID) biyometrik vurgulamasını yürütmesinde yaşadı ve müşterilerin Safari’deki sitelerde, açık bir şekilde Apple ID girişlerini kullananlara giriş yapmalarını doğruladı.

 Sorun, güvenilir açıklama programı aracılığıyla Apple’a açıklandıktan sonra, iPhone yaratıcısı, çalışan tarafı güncellemesindeki güvenlik açığını giderdi.

Bir Kimlik Doğrulama Hatası

Kusurun odak nedeni aşağıdaki gibidir.  İstemcilerin Apple Kimliği gerektiren bir sitede oturum açmaya çalıştıkları noktada, Touch ID’yi kullanarak girişi doğrulamak için bir özet gösterilir.  Bunu yapmak iki faktörlü onay adımını önler, çünkü şu andan itibaren kanıt, örneğin gadget (sahip olduğunuz bir şey) ve biyometrik veriler (olduğunuz bir şey) ayırt etmek için bir değişkenler karışımı kullanmaktadır.

Apple alanlarına (örneğin “icloud.com”) girişler sırasında karmaşıklık, bir kimlik ve gizli kelime içeren standart yol; burada site, Apple’ın oturum açma onayı çalışanını vurgulayan bir iframe (iFrame, bir sayfa içine dökümanlar, videolar ve interaktif medya yerleştirmenizi sağlayan bir HTML elementi) yükler (“https://idmsa.apple.com”)  , onay prosedürünü gerçekleştirir.

Video gösterimde görüldüğü gibi, iframe URL’si de aynı şekilde iki farklı sınır içerir – yönetimi tanıyan bir “client_id” (örneğin, iCloud) ve verimli onaydan sonra yönlendirilecek URL’ye sahip bir “redirect_uri”.

Her durumda, bir istemcinin TouchID kullanarak onaylandığı durumda, iframe, biyometrik doğrulama ile başa çıkmak ve böylece bir jetonu (“grant_code”) kurtarmak. için AuthKit arka plan programı (akd) ile konuşması bakımından farklı şekilde ele alınır.  giriş prosedürüne devam etmek için icloud.com sayfası tarafından kullanılır.

 Bunu yapmak için, arka plan programı “gsa.apple.com” üzerinde, talebin inceliklerini gönderdiği ve belirteci alacağı bir API ile konuşur.  Computest tarafından bulunan güvenlik kusurları, daha önce sözü edilen gsa.apple.com API’sinde yaşıyor. Ve bu da, onay almadan. Bir müşteri kimliğini kontrol etmek için bu alanları elle tutmayı varsayıyor.

 Alkemade, “client_id ve redirect_uri’nin kendisine akd tarafından gönderilen bilgiler için hatırlanmasına rağmen, yönlendirme URI’sinin müşteri kimliğini koordine ettiğini izlemedi” dedi.  “Aksine, AKAppSSOExtension tarafından mekanlara uygulanan bir beyaz liste vardı. apple.com, icloud.com ve icloud.com.cn ile bitirilen tüm alanlara izin verildi.”

Bu, bir saldırganın, iCloud müşteri kimliğini kullanarak bir giriş özetini tetikleyebilecek ve icloud.com’da bir toplantı almak için ödül. Jetonunu tetikleyebilecek kötü niyetli bir JavaScript kodu parçası çalıştırmak için. Apple’ın alt alan adlarından herhangi birinde siteler arası bir komut dosyası zayıflığını kötüye kullanabileceğini ima ediyor.

İCloud Hesaplarını Devralacak Sahte Noktaları Ayarlama

 Farklı bir durumda, saldırı, bir Wi-Fi düzenlemesiyle ilişkilendirilirken gösterilen sayfaya JavaScript yüklenerek. (“captive.apple.com” aracılığıyla), bu satırlar boyunca saldırganın  o sayfadaki bir TouchID özetini tolere ederek bir müşterinin kaydı.

 Alkemade, “Zararlı bir Wi-Fi sistemi, OAuth’u iCloud olarak başlatan JavaScript içeren bir sayfaya tepki verebilir.”  “Müşteri bir TouchID özeti alır, ancak neye maruz kaldığı belirsizdir. İstemcinin bu özeti doğrulaması durumunda toplantı jetonu zararlı siteye gönderilir ve saldırgana iCloud’daki kayıtları için bir toplantı verir.”

 “Müşterilerin bir rehine ağ geçidi almayı umdukları bir alanda (örneğin bir hava terminalinde, konaklama yerinde veya tren istasyonunda) sahte bir erişim noktası kurarak, takviyelere erişime izin veren sayısız iCloud hesabına erişmek düşünülebilirdi.  resimler, telefonun alanı, kayıtlar ve çok daha fazlası. “

 Bu, Apple’ın doğrulama çerçevesinde güvenlik sorunları bulunan ilk çalıştırma değil.  Mayıs ayında, Apple Apple ile oturum aç” çerçevesini etkileyen ve uzak saldırganların doğrulamayı azaltmalarını ve Apple’ın oturum açma seçimini kullanarak listelenen dış yöneticiler ve uygulamalardaki odaklanmış müşterilerin kayıtlarını devralmalarını mümkün kılabilecek bir kusur düzeltti.

Türk Telekom Sosyal Medya Yaay, Müzik, teknoloji, spor, gençlik, çocuk, haber, mizah, dergi, kültür ve siyaset gibi birçok kategoriden ilgi alanlarınıza uygun olanları seçebiliyor ve içerikleri onlara göre takip edebiliyorsunuz. 

 Önceki aylar, evrensel olarak çevrimiçi medya uygulamaları açısından çok yoğun geçti ve geçmeyede devam ediyor.  Ülkemizde durum tamamen farklı değil.  Temmuz ayının sonuna doğru İnternet Ortamında Yayınların Düzenlenmesi ve İnternet Yayınları Yoluyla İşlenen Suçlarla Mücadele Yasasında Değişiklik Yapılmasına Dair Kanun Teklifi Meclis tarafından kabul edilerek yasalaştı.  Bu yeni yasa, aynı şekilde web tabanlı medya devlerini önemli ölçüde etkiledi.

 Yeni kanunla birlikte, her gün 1 milyondan fazla Türkiye gayri resmi iletişim sağlayıcısına kabul edildiğinde, her halükarda Türkiye’de bir temsilci olarak bir kişinin karar vermesi zorunlu hale geldi.  Şimdilik bir temsilci bulundurmamayı tercih eden gayri resmi kuruluşlara hangi onayların zorlanacağı bilinmemekle birlikte, ev tasarımcıları bu durumu olumlu bir konuma dönüştürmeye devam ediyor.  Bu özel durumda Türk Telekom çatısı altında TT Ventures tarafından Yaay adlı web tabanlı bir medya uygulaması oluşturuldu.

Yerli Twitter Mı?

 Yaay için “Yerli Twitter” tabirini kullansak sanırım çok yanılmış olmayız.  Sahneye kayıt olurken sizden örneğin ad-soyadı, e-posta adresi ve telefon numarası gibi verilerden bahsedilir.  Daha sonra kullanıcı adınızı ve şifrenizi belirleyerek bir Yaay kullanıcısı olabiliyorsunuz.  Bir cep telefonu numarası ile sadece tek bir katılım yapılır ve kayıt sırasında bununla ilgili bilgi alırsınız.  Uygulamada içerikler kategorilere göre paylaşılıyor.  Müzik, teknoloji, spor, gençlik, gençler, haber, mizah, dergi, kültür, hükümet sorunları gibi çok sayıda ders arasından sizin eğilimlerinize uygun olanları seçebilir ve onların belirttiği şekilde maddeyi takip edebilirsiniz.

İçerikler Kategorilendirilebilir

 İçerikler, kategorilerin altında serbestçe paylaşılır ve müşterilerin görebileceği her şey.  Takip ettiğiniz kişilerin içeriği ve takip ettiğiniz sınıflandırmalar tek bir sayfada size verilir.  Yaay’ın hashtag’leri var ve Twitter gibi önemli anları planlıyor.  Planı farklı bir alanda belirleyen en çok paylaşılan etiketleri ve konuları görmek mümkün.

Ne Kadar Paylaşım Yaparsanız O Kadar Puan Alırsınız

 Yerli bir sosyal medya uygulaması olması haricinde Yaay ne gibi farklılıklar sunuyor?  Aslında genel olarak göz attığımda öne çıkan ve beni kendine çeken bir özellik göremiyorum.  Ne kadar çok teklif ederseniz o kadar fazla odak topladığınız yer vardır ve bu da öncülerin güvencesini sağlar.  Gönderiden, aldığınız ve yaptığınız açıklamalardan, alıntılardan ve hatta beğenilerden odak noktaları toplarsınız.  Belki de adaletli “merak” isteyen bireyler için tercih edilen bir konum olabilecek bu bileşen, benim gibi yalın töz görmeyi seven ve ağlayarak ifade ettiğim bireyler için bir dezavantajdır;  içerik kirliliği.

Geliştirilmeye açık ama şu an için eksik

 Yaay geliştikçe büyük olasılıkla iyileşme belirtileri gösterecektir.  Bununla birlikte, şimdilik, hemen hemen her müşterinin mucizenin bir bölümünü almaya çalıştığı web tabanlı bir medya aşaması olmaktan öteye gidemez.  Ayrıca bazı yapı sorunları var.  Bazen eşyalar eşyalara baskın yapar ve maddenin değerlendirilmesi zordur.  Düşünmek istediğim gibi, bu tür hatalar “iddialı” bir çevrimiçi medya uygulaması ilerletilmeden önce düzeltilmelidir.  Aynı şekilde, önceki akşamdan beri Yaay’ın sitesine gitme seçeneğimiz olmadığının altını çizeyim.

Platformu hem App Store‘dan hem de Google Play Store‘dan indirebilirsiniz.

 ThiefQuest veya EvilQuest gibi fidye yazılımları (ransomware) her yerde görünebilir, fakat ilk Mac fidye yazılımı sadece dört yıl önce ortaya çıktığı için özellikle Apple’ın Mac bilgisayarına bulaşmak için uyarlanmış çok fazla suç yoktur. Bu yüzden aslında bir çok önemli bir durum haline gelmiştir.

ThiefQuest (EvilQuest) Nedir ?

ThiefQuest veya EvilQuest olarak adlandırılan bu zararlı yazılım aslında 2012’den beridir aynı ismi taşıyan resmi bir Steam oyunu nedeniyle değiştirildi ve ThiefQuest olarak anılmaya başlandı. Bu yazılım aslında kötü amaçlı yazılım türlerinden birisi olan fidye yazılım türleri arasında yer almaktadır. Fakat bu fidye yazılımını diğer yazılımlardan ayıran özelliği macOS işletim sisteminde çalışmasından ziyade farklı özelliklere sahip olması. Bunlar;

  • Fidye yazılımlarının genel özelliklerinden olan dosya şifreleme özelliği bulunuyor.
  • Keylogger gibi çalışarak klavye vuruşlarını kaydetmek.
  • Kripto para birimi cüzdanı olan bilgisayarlardan dosya çalmak.


gibi özellikleri bulunduğu ortaya çıktı.

ThiefQuest Nasıl Yayılıyor ? 

Şu anda esas olarak korsan Mac yazılımları aracılığıyla yayılıyor ve yayılmaya devam ediyor. Bu yüzden korsan yazılımlar kullanmak yaptığınız bir şey değilse, korkacak veya endişelenecek bir durumunz yok demektir.

Şuan için MalwareBytes, ThiefQuest fidye yazılımının yüklenmesine en az iki farklı uygulamanın yardımcı olduğunu ve sahte yükleyiciler bulunduğunu söylüyor. Bunlar ise Little Snitch ve Mixed 8 in Key 8 ayrıca MalwareBytes Ableton Live çin sahte bir yükleyici bulunduğuna dair kanıtlarının olduğunu ve başkalarınında var olabileceğinin muhtemel olduğunu söylüyor.

Little Snitch Kurulumu 

MalwareBytes araştırmacıları uygulama ile ilgili şu yorumlarda bulundu.
Bu yükleyicinin analizinin garip bir şeyler olduğunu gösteriyor. Resmi Little Snitch yükleyicisi gibi profesyonel bir şekilde paketlenmiş ve uygun bir kod imzalanmış iyi bir şekilde ve özenle hazırlanmış.

Kötü Amaçlı Snitch Yükleyici
Kötü Amaçlı Snitch Yükleyici

Ancak, bu yükleyici genel bir simgeye sahip basit bir Apple yükleyici paketiydi. En kötüsü ise yükleyici paketinin bir disk görüntüsünün içine anlamsız bir şekilde dağıtılmasıydı. Her ne kadar diskin içine yayılmış olsa da uygulamanın yapısına göre Little Snitch uygulamasının başlaması gereksede aslında bu şekilde bir olay gerçekleşmedi. Ayrıca saldırganları harekete geçirmek adına bazı tuzak belgeler konulmasına rağmen kötü amaçlı yazılım bir şey şifrelemedi.

Mixed In Key Kurulumu

Mixed In Key yükleyicisi ile yüklenen zararlı yazılım ilk başlarda şifreleme işlemi yapmadığı gözlemlendi. Fakat birkaç saat sistem açık bırakılıp ardından sistem gün ve saati ile uğraşlar sonucunda sistem üç gün öncesine alınınca ağ bağlantısının kesildi. Ve hemen ardından sistemde birkaç kez yeniden başlatıldıktan sonra dosyaların şifrelenmeye başlandığı görüldü. 

Ancak bu kötü amaçlı yazılım, hangi dosyaları şifrelediği konusunda emin değildi.Birkaç ayar dosyasını ve anahtarlık dosyaları gibi birçok veri dosyalarını şifreliyordu. Bu şifrelemeler sonrasında oturum açarken birçok uygulama veya aracın değiştiğini görebilir veya hata iletisiyle karşılamaya başlayabilirsiniz. 

Fidye Yazılımı Tarafından Şifrenlendikten Sonraki Anahtarlık Hatası
Fidye Yazılımı Tarafından Şifrenlendikten Sonraki Anahtarlık Hatası

Bir diğer uyarı ise fidye ödeme talimatlarının bulunduğu ve bir dosya oluşturduğunu belirten ve dosyanın içeriğinde ise kullanıcıya fidye yazılımı (ransomware) bulaşmış olduğuna dair bir bilgilendirme metni yer alıyor. 

Şifreleme Mesajının Ekran Görüntüsü
Şifreleme Mesajının Ekran Görüntüsü

Terimler ve Anlamları

Little Snitch Nedir ?

Little Snitch macOS işletim sistemi için bir uygulama güvenlik duvarıdır. Uygulamaları izlemek, ağ trafiğini görüntüleme ve yönetme, anlık veri kullanımını görme, bağlantı haritası ve download / upload analizi gibi özelliklere sahiptir.  Aynı zamanda uygulamalar için gelişmiş kurallar oluşturabilir ve bazı uygulamaların ekli ağ bağlantılarına bağlanmasını sınırlandırabilirsiniz


Mixed In Key Nedir ?

Mixed In Key uygulaması aslında bir DJ uygulaması diyebiliriz. Harmonik karıştırma (Harmonic Mixing) adı verilen bir DJ tekniğini basit bir hale getiren bir yazılımdır. Mixed In Key’in en son sürümü MP3 ve WAV dosyalarını analiz eder ve her dosyanın müzik anahtarını belirler. Anahtarı bilen DJ’ler, müzik teorisini şarkıları uyumlu bir şekilde çalmak için kullanabilirler.

Fidye Yazılımı (Ransomware) Nedir ?

Fidye yazılımları, zararlı yazılım türlerinden birisidir. Fidye yazılımı bilgisayarınıza bulaştıktan sonra dosyalarını şifrelemeye başlar ve erişiminizi engeller. Dosyalarınıza erişim sağlamanız için sizden bir ücret (fidye) talep edilir, genellikle bu fidye verilsede verilmesede dosyalarınıza erişiminiz açılmaz. Fidye yazılımı genellikle truva atı veya yasal bir dosya olarak gizlenir ve dağıtılır. Fidye yazılımları Locky, Reveton ve ThiefQuest’i örnek olarak verilebilir.

Keylogger  Nedir ?

Keylogger, tuş vuruşlarını bir bilgisayara kaydeden bir programdır . Bunu, kullanıcının girişini izleyerek ve basılan tüm tuşların bir kaydını tutarak yapar. Keylogger, tuş vuruşlarını günlük bir dosyaya kaydedilebilir veya hatta bir ağ veya internet üzerinden başka bir makineye gönderilebilir. Keylogger programları genellikle casus yazılım olarak kabul edilir, çünkü genellikle kullanıcı bilmeden çalışırlar.

Kripto Para Nedir ?

Kripto para, kriptografi ile korunan dijital veya sanal para birimidir. Kriptografi ile korunması ise sahte veya çift harcama yapmayı imkansız hale getirir. Kripto para birimlerinin en büyük tanımlayıcısı ise herhangi bir merkeze, hükümete veya otoriteye bağlı olmamasıdır.

Sudo güvenlik açığı ile ilgili bilgi sahibi olmadan öncelikle sudo nedir bunu bilmemiz gerekiyor. Sudo yeni Linux ve MacOS kullanıcıları için hata kurtarıcısıdır. Sistem üzerinde bir yere erişmek, istediklerinde “İzin Reddedildi.” (Permission Denied) hatası aldıkları zamanlarda çözüm için kullanırlar. Aslında sudo çok fazla işleve sahiptir.

Peki Özetle Sudo Nedir ?

Sudo Unix benzeri bilgisayar işletim sistemleri kullanıcılarının farklı komutlar üzerinde, geçici olarak süper kullanıcı haklarına sahip olmasını sağlar. Kullanmakta olduğunuz herhangi bir yazılım, uygulama süper kullanıcı haklarına ihtiyaç duymakta ise bu komut sayesinde uygulamanın sağlıklı çalışabilmesini sağlayabilirsiniz.

Sudo Güvenlik Açığı ( CVE-2019-18634 )

Linux Sudo Güvenlik Açığı
Linux Sudo Güvenlik Açığı

Sudo yardımcı programında belirli bir yapılandırma altında düşük yetkilere sahip kullanıcıların veya kötü amaçlı programların. Linux veya MacOS sistemlerinde yönetimsel yetkilere sahip olmasına ve istediği komutları çalıştırmasına izin verebilecek bir güvenlik açığı bulundu.

Sudo, çoğu UNIX veya Linux tabanını kullanmakta olan işletim sistemine yüklenmiş ve hali hazır bir şekilde gelen çekirdek komutudur. Ve en önemli, güçlü ve yaygın olarak kullanılmakta olan yardımcı bir programdır.

CVE-2019-18634 olarak takip edilen ve yeni keşfedilen sudo güvenlik açığı 1.8.26 sürümünün altındaki sudo sürümlerinde bulunan bir arabellek taşması sorunundan kaynaklanmaktadır.

Kusur yalnızca sudoers yapılandırma dosyasındaki “pwfeedback” seçeneği etkinleştirildiğinde parola girildiğinde ( * ) yıldız olarak görsel geri bildirim sağlaya bir özellik ve parola girildiğinde kullanılabilir.

Dikkat Edilmesi Gereken Noktalar

Pudofeback özelliği çoğu sürümlerde varsayılan olarak etkin değildir. Fakat Linux Mint ve Elementary OS gibi bazı Linux dağıtımları üzerinde bu özellikler varsayılan olarak sudoers dosyalarında etkin durumda gelmektedir.

Sudo Güvenlik Açığı Kontrolü
Sudo Güvenlik Açığı Kontrolü

Sudoers yapılandırmanızın bu kusurdan etkilenip, etkilenmediğini anlayabilmek, İçin ” pwfeedback ” seçeneğinin etkin olup olmadığını ve bazı girdileri çıktısında listeleyip listemediğini bulmanız gerekmekte. Bunun için Linux veya MacOs terminali üzerinde “sudo -l ” komutunu çalıştırabilirsiniz.

Kontrolleri sağladığınızda etkin durumda ise sudo güvenlik açığı’ndan yararlanılmasını önlemek için sudoers yapılandırma dosyasındaki “Defaults pwfeedback” i “Defaults !pwfeedback” olarak değiştirerek güvenlik açığından etkilenen bileşeni devre dışı bırakabilirsiniz.

Geçtiğimiz ay içerisinde Apple MacOS High Sierra 10.13.6, MacOS Mojave 10.14.6, MacOS Catalina 10.15.2 için birer yama güncellemesi yayınladı. Kusurun ve birkaç düzenlmenin de yapıldığını bildirdi.