Sıfır tıklama(Zero-Click) saldırısı ağırlıklı olarak mesajlaşma, SMS hatta e-posta gibi uygulamalardaki güvenlik açıklarına dayanır. Kullanıcıları virüslü bir eki açarak veya sahte bir bağlantıya tıklayarak erişim sağlamaları için kandırmaya yönelik geleneksel istismar yöntemlerinin aksine sıfır tıklama saldırıları bu tür bir etkileşim gerektirmez.
Sıfır tıklama(Zero-click) saldırısı nedir?
Adından da anlaşılacağı gibi, sıfır tıklamalı bir siber saldırı, sahibinin herhangi bir eylemi olmadan bir cihazı tehlikeye atabilir. Diğer saldırı yöntemleri – örneğin kimlik avı veya smishing – insanları kötü bağlantılara tıklamaları veya görünüşte yasal bir indirme başlatmaları için kandırmak için sosyal mühendisliğe dayanırken, sıfır tıklama saldırıları bunu tamamen aşmak için işletim sistemlerindeki mevcut güvenlik açıklarını kullanır. Bunlar, aktif olarak istismar edilen ve derhal yamalanması gereken, ancak çalışması için kullanıcı eylemi gerektiren güvenlik açıkları olan sıfır gün saldırılarıyla karıştırılmamalıdır. Sıfır tıklama saldırıları, kullanıcı herhangi bir işlem yapmadan bir cihaza erişim sağlar ve potansiyel olarak en teknoloji meraklısı kişileri bile tuzağa düşürür.
Belirli bir uygulamanın yamalanmamış bir güvenlik açığı varsa, saldırgan veri akışını kurcalayabilir. Bu bir görüntü ya da göndermek üzere olduğunuz bir metin olabilir. Bu medya içinde, bilginiz olmadan kötü amaçlı kod çalıştırmak için bir güvenlik açığından yararlanan manipüle edilmiş verileri gizleyebilirler.
Bu etkileşim eksikliği, kötü niyetli faaliyetlerin izlenmesini zorlaştırarak tehdit aktörlerinin tespitten kaçmasını kolaylaştırır. Casus yazılım, takip yazılımı veya diğer kötü amaçlı yazılım türlerinin yüklenmesini sağlar. Suçluların virüs bulaşmış bir cihazı izlemesine, takip etmesine ve veri toplamasına olanak tanır.
Örneğin 2019 yılında popüler bir mesajlaşma uygulaması olan WhatsApp’ın, cevapsız bir aramanın uygulamanın kodu içindeki bir güvenlik açığından yararlanabileceği belirli bir sıfır tıklama saldırısına karşı savunmasız olduğu keşfedildi. Bu şekilde saldırganlar, casus yazılım bulaştırmak için uygulamanın yüklü olduğu cihazı ele geçirebiliyordu.
Neyse ki geliştiriciler bu açığı kapatmayı başardılar ancak bu vaka cevapsız bir aramanın bile bir enfeksiyonu tetikleyebildiğini gösteriyor.
Zero-click saldırılarına neden oluşturabilecek zafiyetlerin sayısı çok fazla olmadığı için bu tip açıklar siber suçlular tarafından dikkatlice değerlendiriliyor. Zafiyetleri bulduklarında hedefteki kullanıcıyı sosyal mühendislik veya oltalama saldırısı ile tuzağa düşürmelerine gerek kalmıyor. Siber suç dünyasında önceden kullanılmamış bir yöntem olan zero-click, yapısı gereği zero-day (sıfır gün) saldırılarına benziyor.
Sıfır gün saldırıları, ilk kez tespit edilen bir güvenlik açığına yönelik henüz yama geliştirilmeden düzenlenen saldırıları temsil ediyor. Bu saldırılar nedeniyle henüz güvenlik önlemi bulunmayan zafiyetler tespit ediliyor, bildiriliyor ve gerekli çözüm üretiliyor. Zero-click saldırılarında ise tek taraflı bir senaryo söz konusu.
Zero-click saldırısı nasıl yapılıyor?
Sıfır tıklama saldırıları, uygulamaların ve işletim sistemlerinin veri doğrulama işlevindeki mevcut boşluklardan faydalanır. Aldığı verinin güvenilir olup olmadığını anlamak için veriyi ayrıştıran tüm sistemler sıfır tıklama saldırısına karşı savunmasızdır. Saldırganlar e-posta ya da mesajlaşma uygulamaları aracılığıyla PDF, gizli resim ya da metin mesajı gibi sisteme zararsız görünen bir şeyin içine kötü amaçlı kod gönderir.
Bunun gerçek dünyadaki bir örneği, telefonunuzdaki bir e-posta mesajlaşma uygulamasındaki bir güvenlik açığı olabilir. Kötü niyetli bir bilgisayar korsanı bu açığı bulursa, tek yapması gereken size kötü kodlarını içeren bir e-posta mesajı göndermektir. E-posta alındıktan sonra, bu kod etkinleştirilir ve hedef telefona bulaşarak bilgisayar korsanının cihazınızdaki tüm e-postalara erişmesini sağlar. Orijinal e-posta silinse bile bulaşma devam eder. Ve hepimiz okuduğumuz ya da tanımadığımız e-postaları sildiğimiz için, büyük olasılıkla telefonunuzda çok uzun süre saldırı izi kalmayacaktır.
Saldırının mantığı, hedeflenen sistemlere gönderilen verilerin, sistem henüz verinin güvenilir olup olduğunu anlayamadan harekete geçmesini sağlamak. Zero-click saldırılarının ilk versiyonları, güvenlik bariyerleri olmayan sunuculara kötü amaçlı yazılım içeren veri paketleri göndermeyi kapsıyordu. İkinci basamakta ise siber suçlular, e-posta ve mesaj platformları üzerinde yeni siber silahlarını test etmeye başladı.
En son örnek, Apple’ın iOS Mail sisteminde tespit edilen ve zero-click saldırılarına kapı aralama potansiyeli bulunan üç adet zafiyet. Söz konusu zafiyetlerin Eylül 2012’de piyasaya sürülen iOS 6’dan bu yana geçerli olduğu ve o tarihten bu yana milyonlarca cihazı hedef haline getirmiş olabileceğine inanılıyor. Saldırı, siber suçlunun özel olarak tasarlanmış bir e-postayı hedefe göndermesi ile başlıyor. Apple’ın mevcut mobil işletim sistemi iOS 13‘e sahip bir akıllı telefonun kullanıcısı, inanması güç ama e-postayı açmasa bile telefonuna sızıntı gerçekleşiyor. Siber suçlular cihazın içine sızdıklarında yeni zafiyetler tespit etmek için yeni erişimler sağlıyor.
Apple’dan yapılan açıklamada Mail sisteminde tespit edilen zafiyetlerin iPhone ve iPad güvenlik bariyerlerini aşmaya yeterli olmadığı ve şu ana kadar kullanıcılara karşı saldırı delili bulunmadığı vurgulandı. Ayrıca güvenlik araştırmacıları, ilk saldırının ardından hedeflenen cihazın tamamen ele geçirilmesi için farklı türde kötü amaçlı yazılımların kullanılması gerektiğini kaydetti. Öte yandan, Apple’ı hedef alan saldırılar farklı kişi ve şirketler üzerinde başarılı saldırılar gerçekleştirilmesini de beraberinde getirdi. ABD merkezli bir teknoloji şirketi, bazı gazeteciler, Almanya ve Japonya’dan üst düzey birer yönetici saldırılardan etkilenenler arasında.
Konunun diğer boyutu ise analizlerin önündeki engeller. Siber suçlular sızdıkları telefonlardaki e-postaları sildiği için güvenlik araştırmacıları söz konusu saldırıların düzenlenmesine neden olan ‘özel tasarım e-postaları’ analiz edemiyor.
Zero-click saldırılarının doğası, hedef üzerinde tek seferde %100 başarı elde edilmesinden çok adım adım sızıntı yapılması şeklinde. Güvenlik uzmanları, oluşturulan arka kapı ile cihazlara girilmesinin ardından “ifşa zinciri” oluşturulduğunu belirtiyor. Apple senaryosunda Mail’e yapılan sızıntı, bu zincirin ilk basamağını oluşturuyor. Siber suçlular zaman içerisinde sızmaya başardıkları cihazların içindeki erişimlerini artırarak saldırılarını genişletebiliyor.
Mevcut noktada, siber suçluların hiçbir kullanıcı etkileşimi gerektirmeden ve tespit edilmeden sadece e-posta kutusuna erişip istedikleri işlemi yapabilmeleri büyük bir risk olarak kabul ediliyor. Araştırmacılar, Apple’ın zero-click tehdidini uzun süre fark edememesini de normal karşıladı. Çünkü zero-click saldırıları arkalarında iz bırakmadan yok oluyor.
Google’ın Project Zero adlı ekibi tarafından Ağustos 2019’da yayınlanan rapor, Apple’ın iMessage hizmetinin de zero-click saldırılarına maruz kalabileceğine işaret etmişti. Siber suçluların sadece bir metin mesajı göndererek ve hiç iz bırakmadan saldırı düzenleyebileceği ifade edildi. Sebebi tüm mesajlaşma uygulamalarında bulunan baştan sona şifreleme (end-to-end encryption) bariyerinin aslında zero-click saldırılarının tespit edilmesini de engellemesi.
Zero-click saldırılarına karşı ne yapılabilir?
Güvenlik uzmanları, henüz yeni yeni adından söz ettiren zero-click saldırılarının ağırlıklı olarak iş faaliyetlerini yürütmek için mobil cihazları tercih eden kişi ve kurumları tehdit ettiğini belirtiyor. Akıllı telefonlar, siber suçlular için saldırı hedeflerini neredeyse sayısız kılıyor ve telefon numarası ile e-posta adresi bilinen kişiler doğrudan zero-click saldırısı riski altına giriyor. Bir metin mesajı veya e-posta gönderilmesi kullanıcı, o esnada uyuyor olsa bile saldırıya maruz kalmasına neden olabiliyor.
Zero-click hakkında bugüne kadar elde edilen bilgiler göz önüne alındığında, kullanıcıların şu anda alabileceği belli başlı bir önlem yok. Ancak zero-click hakkında dikkat edilmesi gereken önemli hususlar var.
Birincisi bu saldırının genelde casusluk veya dolandırıcılık için belli kişi ve kurumları hedef alması. İkincisi saldırının tespit edilemeyecek olmasının güvenlik unsurlarına dikkat edilmemesi anlamına gelmediği.
Mobil cihazlarda güvenlik yazılımı bulundurulması ve bu yazılımların sürekli güncel tutulması zero-click saldırılarının başarı şansını aşağı çekebilir.
Teknoloji devleri de zero-click saldırılarına karşı önlem alabilmek için ödül avcılığı programlarını yüksek bütçelerle desteklemeye başladı. Bu şirketlerin başında Apple’ın gelmesi de pek şaşırtıcı değil. Şirketin beyaz şapkalı hacker’lar için yürüttüğü bug bounty programında zero-click ile ilgili üç başlık eklendi. “Kullanıcı etkileşiminden bağımsız ağ saldırısı” başlığı altında açılan üç zero-click zafiyetinin toplam ödül miktarı eşine çok az rastlanacak şekilde 1 milyon 750 bin dolar.
Artık giderek daha fazla şirket sıfır tıklama ile başa çıkmaya odaklanıyor. Örneğin, Samsung cep telefonları artık Knox güvenlik platformunun bir parçası olan Samsung Message Guard adlı, görüntü ekleri olarak gizlenmiş görünmez tehditlere maruz kalmayı sınırlandırarak kullanıcıları önceden koruyan bir çözüm sunuyor.
Apple’ın iMessage içindeki verileri benzer şekilde kontrol eden BlastDoor güvenlik çözümü de iMessage uygulamasını korumalı alana alarak mesaj ve işletim sistemi etkileşimini engelliyor, böylece tehditlerin hizmetin dışına ulaşması zorlaşıyor.
Bu çözüm, uzmanların iMessage’daki çoğunlukla politikacılar ve aktivistler olmak üzere bireylere karşı paralı casus yazılım yüklemek, mesajlarını okumak, aramalarını dinlemek, şifrelerini toplamak, konumlarını takip etmek ve mikrofonlarına, kameralarına ve daha fazlasına erişmek için kullanılan bir zayıflığı ortaya çıkarması sonrasında geliştirildi.
Tehdit aktörlerinin cihazınıza erişim sağlamak için yararlanabileceği güvenlik açıkları olabileceğinden, sıfır tıklama önleyici çözümlerde bile dikkatli olunmalıdır.
Bu durum özellikle eski yazılıma sahip telefonlar için geçerlidir çünkü bu telefonlarda güvenlik açıklarının yamalanma olasılığı daha düşüktür.
Sıfır tıklama saldırıları neredeyse hiç etkileşim gerektirmese ve genellikle yüksek profilli kişileri veya kamusal görünürlüğü olan kişileri hedef alsa da bu tür saldırılardan kaçınmak için faydalı olabilecek birkaç temel siber güvenlik ipucu var:
- Cihazlarınızı ve uygulamalarınızı güncel tutun, özellikle de güvenlik güncellemeleri çıkar çıkmaz.
- Güncelleme sağlama konusunda iyi bir geçmişe sahip markaların telefonlarını satın alın (en azından düzenli güvenlik güncellemeleri dahil ve en az üç yıl boyunca).
- Google Play veya Apple’ın App Store’u gibi resmi uygulama mağazalarına bağlı kalmaya çalışın, çünkü bunlar yeni sürümleri denetler ve bu nedenle güvenli olma olasılıkları daha yüksektir.
- Bir uygulamayı kullanmıyorsanız silin ve kötü amaçlı uygulama taklitlerine dikkat edin.
- Cihazınızı sıfırlamanız gerektiğinde verilerinizi kurtarmak için cihazınızı düzenli olarak yedekleyin.
- Bir mobil antivirüs çözümü ile güvenliğinizi artırın.
- Siber güvenlik hijyeni uygulayın.