Apple’ın Safari tarayıcısında yeni keşfedilen bir kusurun, onları takip ve kötü amaçlı faaliyetlere maruz bırakma potansiyeline sahip olması nedeniyle Avrupa Birliği’ndeki iPhone kullanıcıları için ciddi bir endişe ortaya çıktı.
Güvenlik açığı, üçüncü taraf pazar uygulamalarının bu kusurdan yararlanarak kullanıcıların gizliliği ve güvenliği için önemli bir risk oluşturmasından kaynaklanmaktadır.
Sonuç olarak, kullanıcılara bir düzeltme sunulana kadar internette gezinirken ve uygulama indirirken dikkatli olmaları tavsiye ediliyor.
Bu güvenlik açığı, kullanıcıların yalnızca Apple App Store’dan değil, geliştiricilerin web sitelerinden de uygulama indirip yükleyebilmesini zorunlu kılan Avrupa Dijital Pazar Yasası’na (DMA) uymak üzere tasarlanmış özel bir uygulamadan kaynaklanmaktadır.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Açıklanan Kusur
Güvenlik açığı, iOS 17.4’te tanıtılan yeni bir URI şemasını içeriyor: marketplace-kitÜçüncü taraf pazaryeri uygulamalarının Safari aracılığıyla doğrudan web sitelerinden yüklenmesine olanak tanır.
Bir kullanıcı bir web sitesinde bu URI şemasını tetikleyen bir düğmeye tıkladığında, Apple’ın MarketplaceKit’i tarafından yürütülen bir süreci başlatır.
Bu süreç, uygulama kurulumunu yönetmek için pazarın arka uç sunucularıyla iletişim kurar.
Ancak MarketplaceKit işleminin benzersiz bir mesaj göndermesi nedeniyle kritik sorun ortaya çıkıyor client_id pazarın arka ucunun tanımlayıcısı.
Rapor, bu tanımlayıcının kurulum sürecini kolaylaştırdığını ancak aynı zamanda kullanıcıyı farklı siteler arasında takip etmek için de kullanılabileceğini belirtiyor.
Sorunu daha da kötüleştiren bir sorun, tanımlayıcının kullanıcının açık bilgisi olmadan gizli bir şekilde iletilmesi ve kurulum işleminin, ağ sorunları veya diğer hatalar nedeniyle başarısız olması durumunda kullanıcıya bilgi vermemesidir.
Bu kusur özellikle endişe vericidir çünkü yalnızca amaçlanan pazaryeri siteleri değil, herhangi bir web sitesi tarafından da kullanılabilir.
Kötü niyetli aktörler potansiyel olarak meşru pazar yerlerini taklit eden web siteleri kurabilir ve kullanıcıları, marketplace-kit URI şemaları.
Bu, kullanıcıları potansiyel gizlilik ihlallerine ve kötü amaçlı yazılımların yüklenmesi de dahil olmak üzere bir dizi güvenlik riskine maruz bırakacaktır.
Apple’ın Duruşu ve Güvenlik Önlemleri
Apple, tanıtımın yapıldığını belirtti. marketplace-kit URI şeması, kurulum sürecini başlatmak için fiziksel bir tıklama gerektirerek kullanıcıları korumaya devam ederken DMA’ya uymayı amaçlayan bir güvenlik önlemidir.
Ancak mevcut uygulama, kötüye kullanıma karşı yeterince koruma sağlamadığı için eleştirildi. client_id ve kullanıcılara kurulum işleminin durumu hakkında yeterli geri bildirim sağlanmadığı için.
Bu güvenlik açığı şu anda AB kullanıcıları ile sınırlıdır. marketplace-kit URI şeması AB dışındaki iPhone’larda desteklenmemektedir.
Kullanıcıların, resmi Apple App Store dışındaki kaynaklardan, özellikle de tanınmış veya doğrulanmamış pazar yeri operatörleri olmayan web sitelerinden uygulama indirirken dikkatli olmaları önerilir.
Bu bulgulara yanıt olarak dijital güvenlik uzmanları, Apple’ı bu güvenlik önlemlerinin uygulanmasını yeniden gözden geçirmeye çağırıyor. marketplace-kit Kullanıcı gizliliğini ve güvenliğini artırmaya yönelik URI şeması.
Bu durum geliştikçe, AB’deki iPhone kullanıcılarına dikkatli olmaları ve uygulamaları yeni ve potansiyel olarak doğrulanmamış kanallar aracılığıyla yüklemenin güvenlik sonuçlarını dikkate almaları hatırlatılıyor.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo