iPhone'lara yönelik hackleme yöntemleri, genellikle nadir ve gizemli canlılar gibi tanımlanırdı: Saldırganlar bu yöntemleri yalnızca çok az sayıda seçilmiş hedefi gizlice ve dikkatlice vurmak için kullanırdı. Ancak son dönemde ortaya çıkan casusluk ve siber suç kampanyaları, binlerce telefonu hedef alan ve geniş çaplı hacklemeye olanak tanıyan bu araçları, virüslü web sitelerine gömülü olarak kullanmaya başladı. Özellikle son zamanlarda keşfedilen ve milyonlarca iOS cihazını etkileyebilen yeni bir teknik, internette kolayca yeniden kullanılabilir bir formda ortaya çıkarak dünya genelindeki iPhone kullanıcılarının önemli bir kısmını risk altına soktu.
Google ve siber güvenlik firmaları iVerify ile Lookout'tan araştırmacılar, Salı günü DarkSword olarak bilinen gelişmiş bir iPhone hackleme tekniğinin keşfedildiğini duyurdu. Bu teknik, virüslü web sitelerinde kullanılarak, bu siteleri ziyaret eden iOS cihazlarını anında ve sessizce hackleyebiliyor. Tekniğin en güncel iOS sürümlerini etkilememesine rağmen, Apple'ın bir önceki işletim sistemi sürümü olan iOS 18'i kullanan cihazlarla uyumlu olduğu belirtiliyor. Apple'ın kendi verilerine göre, geçen ay itibarıyla iPhone'ların yaklaşık dörtte biri hala iOS 18 kullanmaktaydı.
iVerify'nin kurucu ortağı ve CEO'su Rocky Cole, "Çok sayıda iOS kullanıcısı, popüler bir web sitesini ziyaret ettiği için tüm kişisel verilerini kaybedebilir. Eski Apple cihazlarını veya eski işletim sistemi sürümlerini kullanmaya devam eden yüz milyonlarca insan hala savunmasız durumda." dedi.
DarkSword'u kullanan iPhone hackleme kampanyası, Google tarafından Rusya destekli bir casusluk grubu ve diğer hacker grupları tarafından kullanıldığı açıklanan Coruna adlı daha da gelişmiş ve kapsamlı bir hackleme aracının ortaya çıkışından sadece iki hafta sonra gün yüzüne çıktı. DarkSword ve Coruna farklı geliştiriciler tarafından yaratılmış gibi görünse de, araştırmacılar DarkSword'un aynı Rus casusları tarafından kullanıldığını tespit etti. Coruna gibi, DarkSword da ziyaretçilerin telefonlarından veri toplamak amacıyla Ukrayna'daki yasal görünen web sitelerinin, çevrimiçi haber kaynakları ve bir devlet kurumu sitesi dahil olmak üzere bileşenlerine gömülmüştü.
Rus casusluk kampanyasının yanı sıra, Google'a göre DarkSword daha önce Suudi Arabistan, Türkiye ve Malezya'daki kurbanların telefonlarını ele geçirmek için kullanılmıştı. Türkiye ve Malezya'daki hedefler söz konusu olduğunda, Google'ın blog yazısında, Türkiye'nin güvenlik ve gözetim firması PARS Savunma'nın müşterilerinin bu sızma aracını kullanmış olabileceği belirtiliyor. Bu durumlar, DarkSword'un zaten çeşitli hacker gruplarına yayıldığını ve daha fazlasının da bu aracı benimsemesinin muhtemel olduğunu gösteriyor.
iVerify'nin kurucu ortağı ve araştırmacısı Matthias Frielingsdorf, DarkSword'u casusluk kampanyasında en son kullanan Rus hackerların, her bir bileşeni açıklayan ve araç için "DarkSword" adını içeren İngilizce yorumlarla birlikte tam ve sansürsüz DarkSword kodunu, herkesin erişip yeniden kullanabileceği şekilde bu sitelerde erişilebilir bıraktığını belirtiyor. Bu dikkatsizliğin, diğer hackerların aracı alıp diğer iPhone kullanıcılarını hedef almasını adeta davet ettiğini söylüyor. "Sızmanın tüm farklı parçalarını manuel olarak alan herhangi biri, bunları kendi web sunucusuna yerleştirip telefonları enfekte etmeye başlayabilir. Bu kadar basit," diyor Frielingsdorf. "Her şey güzelce belgelenmiş durumda. Gerçekten çok kolay."
Apple'dan bir sözcü yaptığı açıklamada, "Apple'ın dünya çapındaki güvenlik ekipleri, kullanıcıların cihazlarını ve verilerini korumak için her gün durmaksızın çalışıyor" dedi. Ayrıca, Apple'ın hem Coruna hem de DarkSword'dan kullanıcıları koruyacak güvenlik güncellemeleri yayınladığını, son hafta yayınlanan acil güncellemelerin iOS 26'yı çalıştıramayan eski cihazları da kapsadığını belirtti. "Yazılımı güncel tutmak, kullanıcıların Apple cihazlarının yüksek güvenliğini korumak için yapabileceği en önemli şey olmaya devam ediyor" denildi. Şirket, ayrıca iOS'un Lockdown Mode olarak bilinen en katı güvenlik ayarını etkinleştiren kullanıcıların da korunduğunu ekledi.
Google, DarkSword bulgularıyla ilgili yayınladığı blog yazısının ötesinde yorum yapmaktan kaçındı. İlgili haber sitesi, PARS Savunma ile X hesabı üzerinden iletişime geçmeye çalıştı ancak henüz yanıt alamadı.
Lookout'a göre DarkSword, şifreler ve fotoğraflar; iMessage, WhatsApp ve Telegram günlükleri; tarayıcı geçmişi; Takvim ve Notlar verileri ve hatta Apple'ın Sağlık uygulaması verileri gibi bilgileri çalmak üzere tasarlanmış savunmasız iPhone'ları hedef alıyor. Hackleme kampanyasının görünürdeki casusluk odaklanmasına rağmen, DarkSword ayrıca kullanıcıların kripto para cüzdanı kimlik bilgilerini de çalıyor, bu da hackerların kar amacı güden siber suçlar yoluyla olası bir yan iş yürütmüş olabileceğini düşündürüyor.
DarkSword, kullanıcıların telefonlarına kalıcı olarak casus yazılım yüklemek yerine, genellikle Windows cihazlarını hedef alan ve bir iPhone'un işletim sistemindeki meşru işlemleri ele geçirerek veri çalan "dosyasız" kötü amaçlı yazılımlarda görülen daha gizli teknikler kullanıyor. iVerify'den Cole, "Dosya sistemi boyunca kaba kuvvetle ilerleyen ve keşfedilmesi oldukça kolay birçok sızma kanıtı bırakan bir casus yazılım yükü kullanmak yerine, bu sadece sistem işlemlerini amaçlandığı gibi kullanıyor" diyor. "Ve çok daha az iz bırakıyor."
Cole, bu dosyasız tekniğin aynı zamanda bir DarkSword enfeksiyonunun yeniden başlatmadan sonra telefonda kalıcı olmadığı anlamına geldiğini belirtiyor. Bunun yerine, hacklendikten sonraki ilk birkaç dakika içinde telefondan veri çalıyor; bunu "smash-and-grab" (hızlıca alıp kaçma) yaklaşımı olarak adlandırıyor.
Bu ayın başlarında ortaya çıkan Coruna iOS hackleme aracı iOS 13'ten 17'ye kadar olan sürümleri etkilerken, DarkSword, Apple'ın mobil işletim sisteminin geçen sonbaharda iOS 26'yı yayınlamasından önceki sürümü olan iOS 18'in çoğu sürümüyle çalışıyor. (Aslında, DarkSword, bir hedef cihazın hangisini çalıştırdığına bağlı olarak iOS 18'in daha eski ve daha yeni sürümlerindeki farklı güvenlik açıklarından yararlanan iki farklı "zincir" içeriyor.) Bu, özellikle iOS 26'nın göreceli olarak yavaş benimsenmesi ve bazı kullanıcıların aşırı animasyonlu ve okunabilirliği azalttığı yönünde şikayette bulunduğu "sıvı cam" arayüzü gibi yeni özellikler nedeniyle eleştirilen popüler olmaması göz önüne alındığında, Coruna'dan daha fazla telefonun DarkSword'a karşı savunmasız kaldığı anlamına geliyor.
Hem Apple'ın kendisi hem de işletim sistemi benimsenmesini takip eden StatCounter, geçen ay yayınlanan verilerde iPhone kullanıcılarının yaklaşık dörtte birinin hala iOS 18'i kullandığını gösteriyor. iPhone'unuzu güncellemek için Ayarlar > Genel > Yazılım Güncelleme'ye dokunun. (Sıvı camı sınırlama adımlarını ise ilgili yerde bulabilirsiniz.) Hem iVerify hem de Lookout, güvenlik uygulamalarının bir telefonu gözlemledikleri formda DarkSword ile enfekte olup olmadığını tespit edebileceğini söylüyor.
DarkSword'u kimin yarattığı hala bir sır. Ancak bulan araştırmacılar, bunun büyük olasılıkla onu kullanan Rus hackerlar tarafından yapılmadığı konusunda hemfikir. Bunun yerine, hackleme tekniklerini alıp satan bir "aracı" firmayı şüpheleniyorlar. DarkSword kodundaki İngilizce yorumların yanı sıra (muhtemelen bir müşteriye kullanımını açıklamak için yazılmış), kökenine dair en net ipucu, Coruna ile olan bağlantısı: TechCrunch, Coruna'nın ABD hükümet yüklenicisi L3Harris'in bir yan kuruluşu olan ve ABD hükümeti için hackleme teknikleri geliştiren Trenchant tarafından yaratıldığını bildirmişti. Eski Trenchant çalışanı Peter Williams, geçen yıl şirketin araçlarını Rus aracı firması Operation Zero'ya sattığı için suçunu kabul etmişti; bu firma daha sonra ABD hükümeti tarafından yaptırım listesine alındı.
DarkSword'un da Trenchant tarafından yaratıldığına veya ABD hükümeti için inşa edildiğine dair net bir işaret olmamasına rağmen, aynı Rus hackerlar tarafından kullanılması, DarkSword'un da Operation Zero veya başka bir hackleme teknikleri aracısı tarafından satılmış olabileceğini düşündürüyor. (Operation Zero, yorum taleplerine yanıt vermedi.) Onu kullanan Rus casusların ötesinde, Coruna daha sonra siber suçlular tarafından Çince konuşan kurbanlardan kripto para çalmak için de kullanıldı; bu, bir iPhone hackleme aracının daha da pervasızca kullanılması ve Operation Zero'nun tekliflerini ödeme yapmaya istekli herhangi bir hacker grubuna yeniden satacağının potansiyel bir işareti.
İki farklı, güçlü iPhone hackleme tekniğinin arka arkaya ortaya çıkması, muhtemelen her ikisinin de çok az ayrım gözetmeyen bir aracı firma tarafından satıldığı, bir zamanlar son derece nadir kabul edilen ve yalnızca bireysel kurbanlara karşı yüksek oranda hedeflenmiş saldırılar için kullanılan exploitlerin yeniden satışına yönelik giderek daha aktif bir piyasayı gösteriyor.
Lookout'ta mobil tehdit istihbaratı lideri Justin Albrecht, "İnsanlar sadece gazetecilerin, aktivistlerin veya belki de muhalif bir politikacının hedef alınacağını ve bunun normal bir vatandaş için bir endişe kaynağı olmadığını varsayıyordu," dedi. "Şimdi, iOS exploitlerinin ahlaksız bir aracı tarafından dağıtıldığını gördüğümüzde, bunun siber suçlulara ulaşacak bir piyasa var ve onlar bunu çok daha az ayrımcılıkla kullanacaklar."
iVerify'den Cole, DarkSword'un, gömüldüğü sitelerde keşfedilmesini önlemeye yönelik gerçek bir çaba olmadan bu kadar pervasızca kullanılması gerçeğinin de, iOS hackleme tekniklerinin artık karaborsada yeterince ulaşılabilir olduğunu ve hackerların, sonucun ifşa olmaları olsa bile, bunları ayrım gözetmeksizin kullanmaya istekli olduklarını gösterdiğini savunuyor.
Cole, hackerların "Eğer bu yanarsa, başkasını alırım" şeklindeki düşünce yapısını tanımlayarak, "Bu işten daha fazlası geldiğini biliyorlar." diyor.
