Akıllı telefonların hacklenmesi olayını biz her zaman için aynı şekilde düşünüyoruz. Gelen bir mesajdaki güvenli olmayan linke tıklamak, belirsiz kaynaktan bir uygulama indirmek ya da başka bir şekilde güvenli olmayan işlemler yapmak gerektiğine inanıyoruz.
ABD’nin Las Vegas kentinde gerçekleşen Black Hat güvenlik konferansında konuşan Google Project Zero araştırmacısı Natalie Silvanovich, Apple’ın iOS mesajlaşma uygulamasında ‘etkileşimsiz’ olarak tabir ettiği hataları açıkladı. Bu hatalardan faydalanan kişiler, başkalarının telefonunun kontrolünü ellerine alabiliyor. Apple bu hataların beşini gidermiş olsa da geride çözülmesi gereken birkaç sorun kalmış durumda.
Silvanovich, bu hataların her türlü komutun uygulanabileceği, en kötü durumda cihaz sahiplerinin zarar görebileceği bilgisini paylaştı. Project Zero’da Silvanovich ve beraber çalıştığı arkadaşı Samuel Gross’u bu işi incelemeye iten ise WhatsApp’ın arayan cevap vermese bile telefonuna ulaşmayı sağlayan açığı oldu.
Benzer bir açığı SMS, MMS ve sesli mesajlarda gözlemlemeyi bekleyen araştırmacı o konuda başarısız olsa da, daha güvenli olmasını beklediği iMessage’ın pek çok kullanılabilir açığı olduğunu keşfetti.
iMessage, animojilerden başka uygulamalar ile uyumlu çalışan oldukça kompleks bir mesaj sistemi. Bu nedenle de programın açıkları ve zayıf noktaları olması daha olası hale geliyor.
Açıklardan biri, özel olarak hazırlanmış bir mesaj sayesinde kişilerin tüm SMS bilgilerinin saldırganın eline geçmesine sebep oluyor. Kurbanın bu mesajı açması bile gerekmiyor. Apple normalde bu duruma karşı önlemlere sahip olsa da iMessage üzerinden bu saldırı, firmanın kendi güvenlik sisteminin mantığına göre oluşturulduğu için saldırı mesajlarını uygun ve güvenli kabul ediyor. Bulunan diğer açıklar, kurbanların telefonlarına yine mesaj üzerinden zararlı yazılım yüklemeyi mümkün kılıyor.
Bu türden saldırılar, özellikle geniş çaplı hack atakları için sık sık kullanılıyor. Bir yazılım ne kadar gelişirse o kadar çok farklı alandan saldırıya açık oluyor. Bu nedenle firmalar sürekli güvenliklerini geliştirmeye çalışsa da bütün açıkları birden kapatmak mümkün olamayabiliyor.
Böyle saldırılardan korunmak için yapılacak en temel şey ise uygulamaları sürekli güncel tutmak.
