Apple Pazartesi günü, iOS ve iPados’ta vahşi doğada kullanılacağını söylediği bir güvenlik kusurunu ele almak için bant dışı güvenlik güncellemeleri yayınladı.
CVE tanımlayıcısına atandı CVE-2025-24200güvenlik açığı, kötü niyetli bir aktörün siber fiziksel saldırının bir parçası olarak kilitli bir cihazda USB kısıtlı modu devre dışı bırakmasını mümkün kılan bir yetkilendirme sorunu olarak tanımlanmıştır.
Bu, saldırganların kusurdan yararlanmak için cihaza fiziksel erişim gerektirdiğini göstermektedir. İOS 11.4.1’de tanıtılan USB Kısıtlı Modu, bir Apple iOS ve iPados cihazının, kilidi açılmamış ve son bir saat içinde bir aksesuara bağlanmamışsa bağlı bir aksesuarla iletişim kurmasını önler.
Bu özellik, esas olarak kolluk kuvvetleri tarafından kullanılan Cellebrite veya Graykey gibi dijital adli tıp araçlarını, yetkisiz giriş kazanmasını ve el konulan bir cihaza kadar hassas verilerin çıkarılmasını önleme girişimi olarak görülüyor.
Bu tür tavsiyeler doğrultusunda, güvenlik kusuru hakkında başka bir ayrıntı mevcut değildir. İPhone üreticisi, güvenlik açığının iyileştirilmiş durum yönetimi ile ele alındığını söyledi.
Ancak Apple, “bu sorunun belirli hedeflenen bireylere karşı son derece sofistike bir saldırıdan yararlanmış olabileceğine dair bir raporun farkında olduğunu” kabul etti.
Toronto Üniversitesi Munk Okulu’ndaki Vatandaş Laboratuarından Güvenlik Araştırmacısı Bill Marczak, kusuru keşfetmek ve raporlamakla tanınmıştır.
Güncelleme aşağıdaki cihazlar ve işletim sistemleri için kullanılabilir –
- iOS 18.3.1 ve iPados 18.3.1 -iPhone XS ve daha sonra, iPad Pro 13-inç, iPad Pro 12.9 inç 3. nesil ve daha sonra, iPad Pro 11-inç 1. nesil ve daha sonra, iPad Air 3. Nesil ve daha sonra, iPad 7. Nesil ve daha sonra ve iPad Mini 5. Nesil ve daha sonra
- İPados 17.7.5 -iPad Pro 12.9 inç 2. nesil, iPad Pro 10.5 inç ve iPad 6. Nesil
Geliştirme, Cupertino’nun IOS 17.2’den önce iOS sürümlerine karşı sömürüldüğünü ortaya koyduğu temel ortam bileşeninde (CVE-2025-24085) başka bir güvenlik kusurunu çözmesinden haftalar sonra geliyor.
Apple yazılımlarındaki sıfır günler, kurban cihazlarından veri çıkarabilen sofistike programlar dağıtmak için ticari gözetim yazılımı satıcıları tarafından esas olarak silahlandırılmıştır.
NSO Group’un Pegasus gibi bu araçlar, “hayat kurtaran teknoloji” olarak pazarlanırken ve ciddi suç faaliyetlerini “Karanlık Gidiyor” problemi olarak karşılamanın bir yolu olarak pazarlanırken, aynı zamanda üyelerin üyelerine casusluk yapmak için yanlış kullanıldı sivil toplum.
NSO Grubu, Pegasus’un kitlesel bir gözetim aracı olmadığını ve “meşru, denetlenmiş istihbarat ve kolluk kuvvetleri” lisansına sahip olduğunu yineledi.
İsrail şirketi, 2024 için şeffaflık raporunda, 31 ülkede 23’ü istihbarat teşkilatı ve 23’ü kolluk kuvvetleri olan 54 müşteriye hizmet verdiğini söyledi.