Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Apple’ın iOS ve iPad işletim sistemlerinde kritik bir güvenlik kusurunun aktif olarak kullanılması konusunda acil bir danışma uyarısı yayınladı.
CVE-2025-24200 olarak izlenen güvenlik açığı, kilitli cihazlarda kritik güvenlik korumalarına, yetkisiz veri erişimi ve potansiyel cihaz uzlaşma risklerini artıran kritik güvenlik korumalarına fiziksel erişime sahip saldırganlara izin verir.
Güvenlik Açığı Detayları ve Etki
Kusur, Apple’ın mobil işletim sistemlerindeki yanlış bir yetkilendirme güvenlik açığı (CWE-863).
Bu zayıflıktan yararlanan saldırganlar, bir saatlik hareketsizlikten sonra kilitli aygıtlar için USB bağlantısını sınırlayan bir güvenlik özelliği olan USB kısıtlı modu devre dışı bırakabilir;
Bu kırılganlık, özellikle gazeteciler, aktivistler ve cihazları hassas bilgiler içerebilecek yüksek riskli bireyler içindir.
CISA, güvenlik açığının vahşi doğada aktif sömürüsünü doğruladı, ancak fidye yazılımı kampanyalarına bağlantısının doğrulanmamış olduğunu kaydetti.
Ajans, 12 Şubat 2025’te bilinen sömürülen güvenlik açıkları (KEV) kataloğuna kusur ekleyerek federal ajansları 5 Mart 2025’e kadar hafifletme uygulamasını zorunlu kıldı.
Apple, bir yamanın geliştirilip gelmediği konusunda kamuya açık bir şekilde yorum yapmadı, ancak CISA’nın danışmanlığı kullanıcılara piyasaya sürüldükten hemen sonra satıcı tarafından sağlanan güncellemeler uygulamalarını talep ediyor.
Azaltmalar mevcut değilse, ajans savunmasız cihazların kullanımını durdurmayı önerir – kusurun şiddetini vurgulayan sert bir önlem.
Güvenlik uzmanları bu güvenlik açığını ele almanın aciliyetini vurgulamaktadır. Kaspersky’de mobil güvenlik araştırmacısı Jane Harper, “USB kısıtlı modu iOS güvenliğinin temel taşıdır” dedi.
“Uzlaşması milyonlarca kullanıcıyı özellikle telefonları çalındığında gizli veri hırsızlığı veya cihaz manipülasyonuna maruz bırakabilir.”
İstismarın fiziksel erişim gereksinimi uygulanabilirliğini daraltır, ancak hedeflenen saldırılardaki riskleri artırır. Adli firmalar ve kötü niyetli aktörler, Apple’ın güvenlik protokollerini tetiklemeden veri çıkarmak için bu kusurdan yararlanabilir.
Bu senaryo, kolluk kuvvetlerinin kilitli iPhone’lara erişmek için benzer güvenlik açıkları kullandıkları 2019’un Graykey Sustamits’i yansıtıyor.
CISA’nın danışmanlığı, Apple’ın genişleyen tehdit manzarasını yansıtan iOS güvenlik açıkları hakkında artan uyarılar örüntüsünü takip ediyor. 2024’te ajans, ABD kuruluşlarını hedefleyen paralı casus yazılım kampanyalarında sömürülen üç sıfır günlük kusuru işaretledi.
5 Mart hafifletme son tarihi yaklaştıkça, CISA’nın uyarısı, mobil ekosistemlerin karşılaştığı kalıcı tehditlerin kesin bir hatırlatıcısı olarak hizmet ediyor.
Kullanıcılar, kalıcı bir düzeltme uygulanana kadar cihaz güncellemelerine öncelik vermeleri ve yüksek fiziksel güvenlik uygulamalarını sürdürmeleri istenir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free