Project Zero’da araştırmacı olarak görev yapan Ian Beer’in tasarladığı, iPhone’lara uzaktan yetkisiz erişim sağlayan protokol sayesinde yakınlarda bulunan herhangi iPhone anında hacklenebiliyor.
İlginizi çekebilir: İşte 2020’nin en iyi App Store oyunları ve uygulamaları!
Bu yılın başlarında Apple, bilgisayar korsanlarının yakındaki iPhone’lara uzaktan erişmesine ve tüm cihazlarının kontrolünü ele geçirmesine olanak verebilecek bir iOS güvenlik açığını yamadı.
Google’ın güvenlik açığı araştırma ekibi Project Zero’da bir araştırmacı olan Ian Beer tarafından tasarlanan bu yetkisiz uzaktan erişim, Apple’ın AirDrop ve Sidecar gibi şeylerin çalışmasını sağlayan tescilli ağ protokolü olan Apple Wireless Direct Link’te bulunan (AWDL) bir güvenlik açığını kullandı.
Beer, Salı günü yayınlanan 30.000 kelimelik blog gönderisinde, AWDL’deki bir bellek bozulması hatasının e-postalar, fotoğraflar, mesajlar, şifreler ve depolanan şifreler dahil olmak üzere kullanıcıların kişisel verilerine nasıl uzaktan erişim sağlayabileceğini ayrıntılı olarak gösteren çarpıcı bir senaryoyu anlattı.
Güvenlik açığı, Beer tarafından 2018 yılında yayımlanan bir iOS beta sürümünde keşfedildi. Uzun süren çalışmaların ardından Beer, AWDL’deki ilgili kodu bulabildi. Güvenlik açığını belirledi. Daha sonra bir dizüstü bilgisayar, bir Raspberry Pi 4B ve birkaç Wi-Fi adaptörü kullandı. Hedef iPhone’lara uzaktan yetkisiz erişim sağlamayı başardı.
Beer’ın bu yetkisiz erişimi geliştirmesi altı ay sürdü. Ancak bitirdiğinde, yakınında bulunan herhangi bir iPhone’u anında hackleyebildi, üzerinde rastgele kod çalıştırabildi ve tüm kullanıcı verilerini çalabildi.
Beer, ortaya çıkardığı bu yetkisiz erişim kontrolünün gerçek hayatta daha önce kullanılıp kullanılmadığı konusunda bir kanıtı olmadığını söyledi.
Apple, Mayıs ayında iOS 12.4.7 ve iOS 13.3.1’in piyasaya sürülmesiyle bu güvenlik açığını düzeltti. Ayrıca birkaç güvenlik güncellemesi günlüklerinde de Beer’den alıntılara yer verdi. Apple, kullanıcıların büyük çoğunluğunun zaten iOS’un düzeltilmiş olan daha yeni sürümlerini kullandığını biliyor. Bu sorunun kullanıcılar için bir güvenlik açığı olmadığını belirtti.
tarafından verilmektedir.