iOS’taki Sıfır Gün Boşluğu kişisel iPhone verilerini okur

Apple, güvenlik açıklarını ve diğer güvenlik açıklarını tespit edip bildirenlere ödeme yapmayı teklif ettiği bir Hata Ödül Programı yürütür. Ancak, her zaman söylenenlere göre hareket etmiyor gibi görünüyor.

Mart ve Mayıs 2021 arasında Apple’a iOS’ta dört güvenlik açığı bildirdiklerini söyleyen bir Rus geliştirici, iOS 14.7 ile bunlardan yalnızca birinin kapatıldığını iddia ediyor. Ayrıca Apple’ın güncellemeye eşlik eden güvenlik notlarında bulgularından hiç bahsetmediğini ve söz vermesine rağmen sonraki güncellemelere eşlik eden güvenlik notlarında bunu yapmadığını iddia ediyor. Okuyun: Apple, casus yazılımları durdurmak için önemli güvenlik güncellemeleri yayınlar.

Boşlukları keşfeden kişiye göre, açık kalan üç tane var. Apple’ın yanıt vermemesi nedeniyle hüsrana uğramış hisseden, şimdi Github’da kod örnekleri yayınladı ve Twitter kullanıcıları güvenlik açıklarının varlığını doğruladı.

🚨“App Store’dan yüklenen herhangi bir uygulama, aşağıdaki verilere kullanıcıdan herhangi bir istem olmaksızın erişebilir:” pic.twitter.com/hXpfqlgnDa

— Kosta Eleftheriou (@kelefteriou)
24 Eylül 2021

Henüz kapatılmayan boşluklar Apple’ın Game Center’ı ile ilgili. Görünüşe göre, iOS’taki arka plan işlemlerinden biri, bir uygulamanın tüm Game Center işlevlerini gerçekleştirme iznine sahip olup olmadığını kontrol etmiyor. Bu, yüklü herhangi bir uygulamanın Game Center’dan kullanıcı bilgilerini sorgulamasına neden olabilir. Sistem daha sonra aşağıdaki verilere erişebilir: Apple Kimliği ve adı; Mail, SMS, iMessage ve diğer mesajlaşma uygulamalarından kişilerin listesi; Kişiler uygulamasındaki favorilerin listesi ve telefon numaraları, Kişiler uygulamasındaki eksiksiz veritabanları ve kişilerin resimleri.

Yine iOS 15’te etkin olan başka bir boşluk, yüklü herhangi bir uygulamanın, etkilenen cihazda başka bir uygulamanın yüklü olup olmadığı konusunda bir sorgu başlatmasına ve buna bir yanıt almasına izin verebilir.

Henüz kapatılmayan üçüncü boşluğun, konum iznine sahip bir uygulamanın SSID gibi Wi-Fi bilgilerini almasına izin verdiği söyleniyor.

Dördüncü boşluk iOS 14.7 ile kapatıldı. iOS 14.7’den önce kusur, yüklü her uygulamanın analyticsd’den, yani iOS’un çökmelerin değerlendirilmesinden vb. tüm bilgileri alabilmesi anlamına geliyordu.

Apple, kalp atış hızı, aylık döngüler, cinsiyet ve kullanıcıların yaşı gibi farklı sağlık verilerini toplar. Bu veriler yalnızca kullanıcılar izin veriyorsa değerlendirilir – Ayarlar > Gizlilik > Analiz ve İyileştirmeler > Sağlık ve Etkinlik, Sağlık Kaydı, El Yıkama ve Tekerlekli Sandalye’ye gidin. Bu amaçla, bu veritabanları, uygulama çökmeleri, cihazdaki ekran süresi, Safari’de açık sayfaların dilleri vb. hakkında bilgiler içerebilir.

Güvenlik açıkları birkaç saattir bilindiği için henüz bunlara karşı herhangi bir koruma yok. Apple, güvenlik açıklarını kapatana kadar yalnızca bilinmeyen uygulamaları yüklememeyi önerebilir.

iPhone’da güvenlik hakkında daha fazla bilgi için şunu okuyun: iPhone güvenlik ipuçları: Telefonunuzu bilgisayar korsanlarından nasıl korursunuz.

Bu makale ilk olarak Macwelt’te yayınlandı. Karen Haslam’ın çevirisi.