Apple ve Google Pazartesi günü, Bluetooth izleme cihazının bilgileri veya rızaları olmadan onları gizlice takip etmek için kullanılması durumunda hem iOS hem de Android kullanıcılarını bilgilendiren yeni bir özelliğin kullanıma sunulduğunu resmen duyurdu.
Şirketler ortak bir bildiride, “Bu, eşyaların takip edilmesine yardımcı olmak için tasarlanan cihazların kötüye kullanımını azaltmaya yardımcı olacak” dedi ve bunun “kullanıcı gizliliği ve güvenliğine yönelik potansiyel riskleri” ele almayı amaçladığını da sözlerine ekledi.
Platformlar arası bir çözüm önerisi ilk olarak tam bir yıl önce iki teknoloji devi tarafından açıklandı.
“İstenmeyen Konum İzleyicileri Algılama” (DULT) olarak adlandırılan bu özellik, 6.0 ve sonraki sürümleri çalıştıran Android cihazlarda ve resmi olarak dün gönderilen iOS 17.5 yüklü iOS cihazlarda mevcuttur.
Endüstri spesifikasyonunun bir parçası olarak, Android kullanıcıları, eşleştirildiği platformdan bağımsız olarak, tanımlanamayan bir Bluetooth izleme cihazının zaman içinde onlarla birlikte hareket ettiği tespit edilirse “Sizinle birlikte seyahat eden izleyici” uyarısı alacak. iOS’ta kullanıcılar bir “[Item] Sizinle Taşınırken Bulundu” mesajı.
İşletim sisteminden bağımsız olarak kullanıcılar, izleyicinin tanımlayıcısını görüntüleme, yerini bulmaya yardımcı olacak bir ses çalma ve onu devre dışı bırakmak için talimatlara erişme seçeneğine sahip oluyor.
Şirketler, “Topluluk ve endüstri girdilerini de içeren, aynı zamanda sektörde bir ilk olan bu platformlar arası işbirliği, ürünlerine istenmeyen izleme uyarısı yetenekleri eklemeyi seçmeleri durumunda üreticilere talimatlar ve en iyi uygulamaları sunuyor” dedi.
Bu gelişme, AirTags gibi izleyicilerin kötü aktörler tarafından kötü niyetli veya cezai amaçlarla kullanıldığına ve çoğunlukla ülke içi istismarcılar tarafından hedeflerini takip etmek için hain bir izleme aracı olarak istismar edildiğine dair raporlara yanıt olarak geliyor.
Ekim 2023’te Apple’a karşı açılan bir toplu davada, AirTag’lerin “takipçiler tarafından kullanılan en tehlikeli ve korkutucu teknolojilerden biri” haline geldiği ve bunların “kurbanları takip etmek için gerçek zamanlı konum bilgilerini” belirlemek için kullanılabileceği iddia edildi.
Geçtiğimiz yıl, Johns Hopkins Üniversitesi ve San Diego Kaliforniya Üniversitesi’nden bir grup araştırmacı, çok satıcılı gizli paylaşım (MDSS) adı verilen bir mekanizma aracılığıyla kullanıcı gizliliği ile takipçi tespiti arasında daha iyi bir denge sağlayan bir şifreleme şeması tasarladı.
Akademisyenler, “Kötüye Kullanıma Dirençli Konum Takibi: Çevrimdışı Bulma Ekosistemi’nde Gizlilik ve Güvenliği Dengelemek” başlıklı bir makalede, “MDSS, standart sır paylaşımını, birden fazla sırrı olan birden fazla satıcıyı kabul edecek şekilde genişletirken, aynı zamanda bağlantı kurulamazlık ve çoklu satıcı doğruluğu gibi yeni özellikler elde ediyor” dedi. “
CVE-2024-23296 için Apple Backports Düzeltmesi
DULT duyurusu ayrıca Apple’ın, RTKit gerçek zamanlı işletim sistemindeki (CVE-2024-23296) bir güvenlik açığı için Mart 2024’te yayınlanan bir düzeltmeyi iOS, iPadOS ve macOS’un eski sürümlerini çalıştıran cihazlara destekleme kararının ardından geldi.
Keyfi çekirdek okuma ve yazma yeteneğine sahip bir saldırganın çekirdek bellek korumalarını atlamasına olanak tanıyan güvenlik açığı, şu anda bu saldırıların doğasına ilişkin teknik ayrıntılar bilinmese de, aktif olarak istismar ediliyor.
Eksikliğe yönelik yamalar aşağıdaki sürümlerde mevcuttur –
Apple’ın iOS 17.5 güncellemesi aynı zamanda AppleAVD (CVE-2024-27804) ve çekirdekteki (CVE-2024-27818) kusurlar da dahil olmak üzere, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olacak şekilde istismar edilebilecek toplam 15 güvenlik açığını da giderir. Aynı iki kusur macOS Sonoma 14.5’te de çözüldü.