WhatsApp - NSO Group davası: 0-Click ve diğer saldırı vektörleri
Yayınlanan WhatsApp mahkeme dosyasına göre NSO Group, 'Hummingbird' olarak bilinen bir WhatsApp tabanlı vektör ailesinin parçası olan ve 0-Click(sıfır tıklamalı) barındıran "Erised" adlı bir saldırı vektörü kullanmış.
İsrail merkezli ticari casus yazılım üreticisi NSO Group, WhatsApp tarafından hakkında dava açılmasına rağmen, WhatsApp sunucusu üzerinden Pegasus'u devreye sokabilmek için 0-Click(sıfır tıklamalı) barındıran "Erised" adlı bir saldırı vektörü kullanmış.
WhatsApp'ın 2019'da NSO Group'a karşı açtığı davayla ilgili geçen hafta bir gelişme yaşandı ve Kaliforniya'daki bir federal yargıç tarafından dava ile ilgili belgelerin yayınlanmasına karar verildi.
Yayınlanan WhatsApp mahkeme dosyasına göre NSO Group, 'Hummingbird' olarak bilinen bir WhatsApp tabanlı vektör ailesinin parçası olan ve 0-Click(sıfır tıklamalı) barındıran "Erised" adlı bir saldırı vektörü kullanmış.
NSO Group'un WhatsApp'ın güvenlik açıklarını tespit ederek, yazılımın kodunu deşifre edip analiz ettiğini ve bu sayede WhatsApp'ı taklit eden kendi sunucusunu ("WhatsApp Kurulum Sunucusu" veya kısaca "WIS") geliştirdiğini kabul ettiği belirtiliyor. NSO, bu sunucu aracılığıyla hatalı mesajlar göndererek hedef cihazlara izinsiz erişim sağlamış.
WhatsApp, söz konusu hatalı mesajların WhatsApp sunucuları üzerinden gönderilmesi nedeniyle hedeflenen cihazların "federal ve eyalet yasalarını ve WhatsApp Hizmet Şartları'nın açık ifadesini ihlal ederek" Pegasus'u yüklemesine neden olduğunu iddia ediyor.
NSO Group, 2019 yılında Eden adlı araç geliştirdi
2019 yılının Şubat ayında NSO Group'un WhatsApp'ın 2018'de uyguladığı korumaları aşmak için 'Eden' olarak bilinen başka bir istismar geliştirdiği iddia ediliyor. WhatsApp'ın Mayıs 2019'da tespit ettiği üzere Eden, NSO müşterileri tarafından yaklaşık 1400 cihaza yönelik saldırılarda kullanılmış.
WhatsApp, Mayıs 2020'de Erised'ı engelledi
WhatsApp saldırıları tespit ettikten sonra , Eden güvenlik açıklarını yamaladı ve NSO'nun WhatsApp hesaplarını devre dışı bıraktı. Eden açığı Mayıs 2019'da giderilmiş olsa da, mahkeme kayıtları NSO'nun WhatsApp'ın ara sunucularını kullanarak Pegasus casus yazılımını kurmak için "Erised" adlı diğer bir saldırı vektörü geliştirip, kullanmış. WhatsApp tarafından geliştirilen ek güvenlik önlemleriyle birlikte Mayıs 2020'den sonra Erised'ın erişimi engellenmiş.
Müşterinin sadece hedefi girmesi yeterli oluyor!
Dosyalara göre NSO Group, müşterilere anahtar teslim bir ürün yönetimi sunuyor ve müşterilerin herhangi bir şey yapmalarına gerek kalmadan sadece hedefi girmeleri kalıyor. Ürün arka planda, bilinen ve bilinmeyen güvenlik zafiyetlerini kullanarak casus yazılım kurulumunu ve verileri çekme işlemini gerçekleştiriyor.
NSO Group, bu hafta mahkemeye sunulması gereken kendi sansürsüz dosyalarını henüz yayınlamadı.
