Apple, iOS 14.4 güncellemesi ile bir takım hataları düzeltti ve sistemin “aktif olarak istismar edilmiş olabileceğini” söylediği üç güvenlik açığını giderdiğini duyurdu. Bu açıklama ile birlikte Apple, kötü niyetli bir saldırıda kötüye kullanılabilecek bir güvenlik açığını kapattığını ilk kez açıkça kabul etti.
Safari ve işletim sistemi çekirdeğindeki hatalar iOS 14.4 ile düzeltildi
iOS 14.4 ile ilgili yayınlanan güvenlik belgesinde, güncellemeyle birlikte düzeltilen üç hatanın açıklamasını görebilirsiniz. Bunlar aşağıdaki gibidir:
CVE-2021-1782: kötü amaçlı bir uygulama, işletim sistemi çekirdeğinde bazı ayrıcalıklara erişim sağlayabilir.
CVE-2021-1870 ve CVE-2021-1871: uzaktaki bir saldırgan Webkit’te bir yürütme kodunun yürütülmesine neden olabilir.
Çekirdek, işletim sisteminin, yazılımın geri kalanının donanıma erişmesine izin veren temel bir parçasıdır. Webkit, hem macOS hem de iOS’ta kullanılan Safari için Apple tarafından geliştirilen tarayıcı motorudur. Genellikle bir bilgisayar korsanı, bir aygıta erişmek için zincirdeki birden çok hatayı kullanır. Bu durumda, içeri girmek için iki “anahtar” ve bunlara erişmek için bir “kapı” var.
Bu açıkların bir veya daha fazla kullanıcıya karşı kullanılıp kullanılmadığı veya geniş ölçekte istismar edilip edilmediği bilinmemektedir. Bununla birlikte, güvenlik notunun kendisi “ek ayrıntıların yakında hazır olacağını” belirtiyor.
İsimsiz bir araştırmacı ödüllendirilebilir
Yeni bir yazılım sürümünün güvenlik notlarında, Apple genellikle ilgili açığı bulan kişiyi veya ekibi belirtir. Doğrudan bir ilişkilendirme görünmezse, kendi ekipleri tarafından düzeltildiği varsayılır. Ancak yeni güvenlik notunda, söz konusu üç açık “anonim bir araştırmacıya” atfediliyor.
Donanım ve yazılım güvenliği dünyasında, bu tür hataları, şirketle iletişim kurulduktan ve hatalar giderildikten sonra kamuya duyurmak yaygın bir uygulamadır. Bu şekilde, yeni bir özgeçmiş satırı gibi, akranlarınız arasında alaka ve prestij kazanırsınız. Bu nedenle, üç hatayı ortaya çıkaran kişi veya grubun hala anonim olması oldukça çarpıcı bir durumdur.
Her güncellemenin, bazı durumlarda cihazlarımızın güvenliğini korumaya yardımcı olan büyük hataları düzelttiğini hatırlamakta fayda var.
Bu, kötü amaçlarla istismar edilen güvenlik hatalarının keşfedildiği ilk olay değil. En kötü şöhrete sahip vakalardan biri de çekirdeğe erişime izin veren üç hatadan oluşan bir dizi olan Pegasus’du. Birleşik Arap Emirlikleri tarafından ülkedeki siyasi bir muhalif hakkında casusluk yapmak için kullanıldı ve 2016 yazında Apple tarafından düzeltildi.
Apple, bir süre önce, cihazlarının güvenliğini kırmayı başaranlara parasal ödüller verdiği bir ödül programı başlattı. Ödüller, kilit ekranını atlamak için 100.000 ABD Doları ile çekirtekte tıklama olmadan kod çalıştırmayı yönetme için 1 milyon ABD Doları arasında değişiyor.
Tabii ki, isimsiz ihbarcı bu üç açık için birkaç yüz bin dolar kazanabilir Önümüzdeki haftalarda bununla ilgili daha fazla şey öğrenecek miyiz göreceğiz.