Apple Kısayolları güvenlik açığı (CVE-2024-23204), saldırganların hedeflenen cihazlara erişmesine ve hassas verileri çalmasına olanak tanır; cihazlarınızı hemen güncelleyin!
Siber güvenlik firması Bitdefender, Apple Kısayolları’nda saldırganların kullanıcılara herhangi bir uyarıda bulunmadan hassas verilere erişmesine olanak tanıyan 7,5/10 önem derecesine sahip bir güvenlik açığı keşfetti. Bitdefender’ın 22 Şubat 2024’te yayınlanan blog yazısına göre bu güvenlik açığı şu şekilde takip ediliyor: CVE-2024-23204saldırganların Apple’ın macOS ve iOS güvenlik çerçevesini atlayarak bir Kısayol dosyası oluşturmasına olanak tanır.
Apple Kısayolları popülerdir macOS ve iOS Kullanıcıların uygulama kontrolü, medya yönetimi, mesajlaşma, konuma dayalı eylemler ve daha fazlası gibi görevleri otomatikleştirmek için görsel programlamayı kullanarak kişiselleştirilmiş iş akışları oluşturmasına olanak tanıyarak görevleri basitleştiren otomasyon uygulaması. Kullanıcılar dosya yönetimi, sağlık takibi, web otomasyonu, eğitim ve akıllı ev entegrasyonu için iş akışları oluşturarak üretkenliği ve kullanıcı deneyimini artırabilir.
Güvenlik açığı, Apple’ın Kısayollar topluluğundaki kısayol paylaşma/genişletme mekanizmasında bulundu. Topluluk, kullanıcıların otomasyon iş akışlarını keşfetmesine ve hızlandırmasına ve kısayolları dışa aktarmasına/paylaşmasına olanak tanır.
Öte yandan CVE-2024-23204, kullanıcıların bilmeden macOS ve iOS’taki Şeffaflık, Rıza ve Kontrol (TCC) güvenlik çerçevesinden yararlanabilecek kısayolları içe aktarmasına olanak tanıyor. Bu çerçeve, hassas verilere veya işlevlere erişmeden önce açık izin gerektirerek kullanıcı gizliliğinin ve güvenliğinin sağlanmasına yardımcı olur.
Saldırı sırasında araştırmacıların belirttiği gibi Blog yazısıKısayollar’daki ‘URL’yi Genişlet’ işlevi, saldırganların base64 kodlu fotoğraf verilerini kötü amaçlı bir web sitesine göndermesine olanak tanır. Bu, hassas verilerin seçilmesini, içe aktarılmasını, base64 kodlama seçeneğini kullanarak dönüştürülmesini ve sunucuya iletilmesini içerir. Bir Flask programı iletilen verileri yakalayarak saldırganın bu verileri istismar için saklamasına olanak tanır. Sorun şurada çözüldü: macOS Sonoma 14.3, watchOS 10.3, iOS 17.3 ve iPadOS 17.3.
Yine de, gizlilik ihlali potansiyeli göz önüne alındığında, Apple’ın Kısayollar uygulamasında sürekli güvenlik uyarısı yapılması gereğinin altını çiziyor. Kullanıcıların en son yazılımı kullanmaları tavsiye edilir. Kullanıcıların macOS, iPadOS ve watchOS aygıtlarını güncellemeleri, güvenilmeyen kaynaklardan kestirmeler çalıştırırken dikkatli olmaları ve kısayolları düzenli olarak kontrol etmeleri önerilir. Apple güvenlik güncellemeleri ve yamaları.
Güvenlik açığını çalışırken izleyin!
Son zamanlarda Apple uygulamalarında ve cihazlarında tespit edilen kusurların sayısındaki artış, Apple ürünlerinin kullanıcı verilerinin korunmasında en güvenilir ürünler olduğu efsanesini etkili bir şekilde çürüttü. Geçen yıl Apple rekor sayıda güvenlik açığını kapattı.
Temmuz 2023’te Apple kritik bir yayın yaptı güvenlik uyarısı iPhone, iPad ve Mac kullanıcıları için, Safari WebKit tarayıcı motorundaki bir yazılım güvenlik açığı nedeniyle cihazlarını en kısa zamanda güncellemelerini rica ediyoruz.
Ekim 2023’te Georgia Tech, Michigan Üniversitesi ve Ruhr Üniversitesi Bochum’dan araştırmacılar bir iLeakage keşfetti Apple cihazlarında 2020’den bu yana Mac’leri ve iPhone’ları etkileyen güvenlik açığı. Saldırı, CPU’lardaki bir yan kanal güvenlik açığından yararlanarak Safari’nin şifreler ve Gmail içeriği dahil olmak üzere hassas verileri ifşa etmesine olanak tanıdı.
Aralık 2023’te bir Bluetooth güvenlik açığıCVE-2023-45866, saldırganların kötü amaçlı uygulamalar yüklemek, komutları çalıştırmak ve yetkisiz eylemler gerçekleştirmek için kullanıcı onayı olmadan Android, Linux, macOS ve iOS cihazlarını kontrol etmesine olanak tanır.
Aynı ay Apple’ın piyasaya sürülmüş Bilgisayar korsanlarının kötü amaçlı web sayfaları aracılığıyla güvenliği ihlal edilmiş cihazlarda kod yürütmesine ve hassas verilere erişmesine olanak tanıyan iki sıfır gün güvenlik açığını (CVE-2023-42916 ve CVE-2023-42917) gideren güvenlik güncellemeleri.
İLGİLİ KONULAR
- Apple, Gerçek Rabby Cüzdanından Önce Sahte Uygulamayı Onayladı
- Apple Safari En Güvenli, Google Chrome En Riskli Tarayıcı
- Apple AirTags, kimlik bilgilerinin hacklenmesinde truva atı olarak kullanılabilir
- 55 Apple güvenlik açığı iCloud hesabının ele geçirilmesi ve veri hırsızlığı riskiyle karşı karşıya kaldı
- Apple Bug ödülü: iPhone’u ve diğer ürünleri hackleyerek büyük destek kazanın