'Sıfır tıklama açıkları', geliştiriciler tarafından fark edilmeyen ve ürün ortaya çıktığı anda üründe olan açıkları tanımlamakta kullanılan bir ifadedir. Bu türden açıklar sık görülse de özellikle büyük üreticiler pek bu hataları yapmaz. Hatta Apple, daha önce bu türden bir açık bulana 250 bin dolar ödül vereceğini açıklamıştı.
Görünüşe göre firma, bu ödüllerden birini Google’ın Project Zero ekibine verecek. Ekibin bulduğu sıfır tıklama açığının iPhone’ları ve diğer Apple ürünlerini etkilediği belirtildi. Konuyla ilgili ekibin blog sayfasında açıklama yapıldı.
Apple ürünlerinde açık:
Project Zero ekibi, sorunun multimedya işlemekte kullanılan ImageIO yapısında olduğunu söyledi. Bu yapı; iOS, macOS, watchOS ve tvOS işletim sistemlerinin tamamında kullanılıyor, hâliyle bu sorun her cihazda yer alıyor.
ImageIO, bir görsel ya da mesaj gönderildiğinde içeriğini kendiliğinden değerlendiriyor ve dosyanın ne olduğuna kendisi karar veriyor. Bu tür otomatik süreçler de farklı dosyalara zararlı kodlar saklayabilen hackerların iştahının kabarmasına neden oluyor.
Google analistleri 'fuzzing' adı verilen tekniği kullanarak ImageIO’nun hatalı görsel işlemeyle nasıl başa çıktığını inceledi. Ardından da bu yapı içerisinde 6, OpenEXR adlı üçüncü parti uygulamadaysa ekstradan 8 adet daha açık buldu.
Google, Apple’a açıklar hakkında bilgi verdi:
Açıklar üçüncü parti mesajlaşma uygulamalarıyla istismar edilebilecek olsa da asıl sorun, uygulamaların bağlı olarak çalıştığı kaynaktan geliyor. Yani sorunun çözümü için Apple’ın bir şeyler yapması gerekiyor. Google analistleri, keşfettikleri açıkları Apple’a bildirdi. Firmanın daha önce de yayınladığı güncellemelerde bu türden açıkları kapattığını biliyoruz. ImageIO açıkları, Ocak 2020 ve Nisan 2020’de yayınlanan yamalarda giderilmişti. OpenEXR sorunları en son güncelleme olan 2.41 güncellemesinde ortadan kaldırmıştı.
Araştırmacılar, kullanıcıların belli türlerdeki mesajların sınırlandırılmasının faydalı olacağını belirtiyor. Araştırmacılardan Samuel Gross ise ekibin keşfettiği açıklar kapatılmasına rağmen benzer sorunların devam ettiğini söylüyordu. Herhangi bir işletim sisteminin tamamen güvenli olması pek de mümkün değil. Güvenlik uzmanları ve hackerler, bir nevi bitmeyen yarış içerisinde. Bu da sahip olduğumuz yazılımları güncel tutmanın önemini vurguluyor.
