Geçtiğimiz günlerde siber güvenlik alanında çok değerli gelişmeler yaşandı. Siber güvenlik şirketi olan Corellium’un geliştirmiş olduğu araçların İsrail, Rusya ve Birleşik Arap Emirlikleri‘ndeki hükümet kaynaklı casus yazılım ve korsan yazılım faaliyetlerinde kullanıldığı ortaya çıktı. Bunlara ek olarak Corellium’un Çin hükumetiyle de bağlantısı olduğu belirlendi. Apple‘ın Corellium’a karşı 2019’daki davasında kullanmak gayesiyle hazırladığı 507 sayfalık bir belge, şirketin baskıcı rejimlere ve insan haklarının zayıf olduğu ülkelere araç satma sicili olan şirketlerle bağlantıları olduğunu gösterdi. Apple’ın sızan dokümanı, Correllium’un 2019’da NSO Group’a eserini denemesini teklif ettiğini ve fiyat teklifi bile verdiğini gösteriyor.
Endişe verici gelişmeler
Corellium, yıllardır kendisini Android ve iOS’taki yazılım kusurlarına karşı çok değerli bir savunucu olarak resmetti. Lakin sızdırılan evrak, Corellium’un Google ve Apple’ın güvenlik açıklarını yamalamasına yardımcı olmak yerine, cep telefonlarını hacklemek için yanlışlar ve açıklardan yararlanan birkaç şirketle çalıştığını gösteriyor. Corellium’un prestiji ile kelam konusu şirketlerle bağları olduğuna inanmak sıkıntı olabilir. Lakin sızan doküman, şirketin cep telefonlarını hacklemek için yazılım açıklarından ve yanılgılarından yararlanan birkaç şirketle çalıştığını açıkça gösteriyor. Evraklar tıpkı vakitte Corellium çalışanı ile DarkMatter ve NSO Group dahil olmak potansiyel müşterilerle olan e-posta trafiğini de gözler önüne seriyor.
Aktarılanlara nazaran 2019’da Corellium yazılımını hükümet temelli nezaret şirketi Paragon‘a sattı. Şirket ayrıyeten yazılımını kurucuları seçkin iOS ve iPhone hacker’larından oluşan tanınmış bir Çinli grubun kesimi olan Pwnzen Infotech‘e lisansladı. Daha bitmedi dahası da var, Corellium’un müşterilerinden birinin Rus iPhone hacker şirketi Elcomsoft olduğu ortaya çıktı.
Corellium, dokümanın içeriği hakkında cevap vermedi; bunun yerine, şirketin NSO Group ve DarkMatter’a denemeler sunduğunu söylediği fakat müşterileri olduklarını reddettikleri bir taslak blog gönderisi paylaştı. Hasebiyle bu şirketlerle rastgele bir iş yapıp yapmadıkları ve bu şirketlerle bağlarını kesip kesmedikleri hala bir muamma.
