Pegasus yazılımının sırları ortaya çıktı

Bugüne kadar siber saldırganların kullandığı zararlı yazılım çeşitleri kullanıcının bir etkileşimini gerektiriyordu. Örneğin bir oyun indirmek, mail içeriğine tıklamak veya uygulamanın isteğine karşılık vermek gibi. Zararlı yazılımlar o kadar gelişti ki artık etkileşim de gerekmiyor. 

Pegasus sırları açığa çıkıyor

Dünyada büyük yankı uyandıran ve sayısız kurum ve kuruluşun kullandığı İsrailli NSO Pegasus yazılımı da etkileşim gerektirmemesi sayesinde kullanıcı farkında olmadan tüm verilerini ele geçiriyordu. Google Project Zero ekibinin yaptığı araştırmalar sona erdi ve Pegasus yazılımının nasıl çalıştığı ortaya çıktı. FORCEDENTRY yöntemi özellikle iPhone cihazlarının PDF okuma yaparken kullandığı Xpdf sistemindeki açığı baz alıyor. 

Etkileşim gerektirmediği için bir mesaj içerisinde gelen GIF dosyasına enjekte edilebiliyor. GIF dosyası aslında bir PDF ve Xpdf açığını kullanarak JBIG2 formatında veri akışı oluşturuyor. JBIG2 formatı kayıpsız ve kısmi kayıplı olduğu için sıkıntı burada başlıyor. 

Hali hazırda sıkıştırma problemleri olan JBIG2 formatı her karakteri bir eş karakter ile değiştirerek sıkıştırma yapıyor. Pegasus da bu sıkıştırmayı kullanarak görselmiş gibi bilgisayar komutları çalıştırabiliyor. Google bu yöntemi RAM içerisinde bir sanal bilgisayar oluşturmak şeklinde tanımlıyor. 

Apple yayınladığı iOS güncellemesi ile bu açığı kapatmış durumda. Ayrıca firmanın bu tarz işlemler için geliştirdiği sandbox olarak bilinen güvenli alanın nasıl aşıldığı da raporda belirtilmemiş.