Çarşamba günü Apple, desteklenen tüm iOS ve iPadOS, macOS, tvOS, watchOS ve Safari dalları için güvenlik güncellemeleri yayınladı.
Bu kez güncellemeler, sıfır gün düzeltmesi sundukları zamanki kadar dikkat çekmedi; ancak şirketin sonunda CVE-2023-32434 için bir kod yürütme güvenlik açığı içeren bir düzeltme eki yayınladığını da belirtmek gerekiyor. Son derece gizli TriangleDB casus yazılımından şu anda desteklenen en eski iOS/ıpados şubesine (15.x) kadar.
MAC adresi sızıntısı
Bu Çarşamba günü iOS 17.1 ve iPadOS 17.1, iOS 16.7.2 ve iPadOS 16.7.2, tvOS 17.1 ve watchOS 10.1’in piyasaya sürülmesiyle düzeltilen bir diğer önemli güvenlik açığı, gizliliği artırıcı bir özellik haline getiren bir hata olan CVE-2023-42846’dır (“ Özel Wi-Fi Adresi”) amaçlandığı gibi çalışmıyor.
Mysk Inc.’den Talal Haj Bakry ve Tommy Mysk tarafından keşfedilip bildirilen güvenlik açığı, kullanıcıların iPhone’larının farklı Wi-Fi ağları üzerinden cihazlarının statik MAC adresiyle izlenmesine olanak sağladı.
“Tanıtıldığı günden bu yana [in iOS 14], özellik tamamen işe yaramazdı. iOS, cihazın veri bağlantısı katmanındaki gerçek MAC adresini ağ başına oluşturulan bir adresle değiştirirken, bir iPhone’un bir ağa katıldığında göndermeye başladığı AirPlay keşif isteklerindeki gerçek MAC adresini de içeriyor” diye açıkladı araştırmacılar.
“Bir VPN’e bağlı olsalar bile iPhone ve iPad’lerin AirPlay keşif istekleri göndermesini engellemenin bir yolu yok.” Mysk’in Ars Technica’ya doğruladığı gibi Kilitleme Modu da bu açıdan eşit derecede dişsizdir.
Apple, “güvenlik açığı bulunan kodu kaldırarak” güvenlik açığını kapattığını söyledi ancak ayrıntılı bir açıklama yapmadı. Ayrıca düzeltme henüz iOS 15.x şubesine teslim edilmedi.
iLeakage yan kanal saldırısı
Bir grup araştırmacı, bir Safari kullanıcısı özel hazırlanmış bir web sayfasına girdiğinde hassas bilgileri (otomatik doldurulan şifreler veya Gmail gelen kutusu içeriği gibi) çıkarmak için Apple A serisi veya M serisi CPU’ların spekülatif yürütme yeteneğinden yararlanan bir yan kanal saldırısı geliştirdi.
“Bir web tarayıcısı sekmesinde çalışan kod yalıtılmalı ve kullanıcının açtığı diğer sekmeler hakkında hiçbir şey çıkaramamalı. Ancak iLeakage ile, kötü amaçlı JavaScript ve WebAssembly, bir hedef saldırganın web sayfasını ziyaret ettiğinde ve tıkladığında hedef web sayfasının içeriğini okuyabilir. Bu içerik kişisel bilgileri, şifreleri veya kredi kartı bilgilerini içeriyor” diye paylaştı.
Saldırı, Safari’nin JavaScript motorunu kullandıkları için iOS’taki Chrome, Firefox ve Edge kullanıcılarına karşı da kullanılabilir.
“[Those mobile browsers] Yer işaretlerini ve ayarları senkronize etmek gibi yardımcı özellikler sağlayan, Safari’nin üstünde yer alan basit sarmalayıcılardır. Sonuç olarak, App Store’da listelenen hemen hemen her tarayıcı uygulaması iLeakage’e karşı savunmasızdır” diye eklediler.
Saldırıya ilişkin teknik bilgilere bu yazıdan ulaşabilirsiniz.
Araştırmacılar, saldırının uçtan uca düzenlenmesinin “oldukça zor” olduğunu (aynı zamanda hassas veri çıkarma hızının da çok yavaş olduğunu) ve şu anda iLeakage’in saldırganlar tarafından kötüye kullanıldığına dair kanıtları bulunmadığını belirtti.
Araştırmalarını Eylül 2022’de Apple’a açıkladılar ancak herhangi bir düzeltme mevcut değil.
Ancak olası hafifletmeler vardır: Kullanıcılar Kilitleme Moduna geçebilir veya tarayıcıda JavaScript’i devre dışı bırakabilir. Ancak her iki seçeneğin de dezavantajları vardır: Kilitleme Modu potansiyel olarak istenmeyen sınırlamalarla birlikte gelir ve JavaScript’in devre dışı bırakılması, ziyaret etmek isteyebileceğiniz belirli web sayfalarını “bozacaktır”.