Apple, iOS 17.4 ile iMessage gizmetine büyük bir güvenlik güncellemesi getiriyor. İlk olarak Forbes’dan Zak Doffman‘ın yapmış olduğu habere gore, güncelleme, mesajlaşma güvenliği açısından oldukca mühim bir atılım anlamına geliyor.
Yeni güncelleme ile Apple “3. Düzey” güvenlik sunuyor, ki bu da mesajları güvenli hâle getirmek için gelişmiş şifrelemeyi iki seviyede sağlıyor: konuşma başlarken ve konuşma esnasında. Meta’nın WhatsApp’ı ve Feysbuk Messenger benzer biçimde öteki mesajlaşma uygulamaları “1. Düzey” güvenlik sunarken, Signal de “2. Düzey” güvenlik sunuyor.
Bunun anlamı, güncellemeden ilkin biri şifreleme anahtarına erişebildiğinde, bu anahtarı kullanarak tüm mesajları deşifre edebiliyordu. Şimdi şifreler sürekli olarak değişiyor ve fena niyetli bir şahıs telefonunuza erişse bile azca sayıda mesaja ulaşabilecek.
Siber güvenlik tutkunları için izah edelim, bu büyük güncelleme ile Apple hedefinin kuantum bilgisayarlardan meydana gelen tehditlere karşı koruma sağlamak bulunduğunu belirtiyor. Bu futuristik bilgisayarlar, teoride mevcut güvenlik metodlarımızı kolayca kırabiliyor. Kapımıza dayanmış bir tehdit değil, sadece Doffman’a gore, Apple’ın “böylesi tehdit yaratabilecek, yeterince güce haiz bir quantum bilgisayarının” gerçek olabilmesi için tahmin etmiş olduğu süre 10-15 yıl.
iOS 17.4 mesajlaşma yöntemlerimizi değiştirmeyecek sadece mesajlaşma uygulamalarının ne kadar güvenli olması gerektiğine dair yeni bir standart belirleyecek. Güncelleme yayına sunuluyor ve iPad’ler ile Mac cihazlara da uygulanacak.
Bu güncelleme, akıllara “Operation Triangulation”ı getirdi
Apple’ın iMessage servisine getirmiş olduğu bu büyük güvenlik güncellemesi, akıllara yakın geçmişte yaşanmış olan oldukca büyük bir güvenlik açığını da getirdi. “Operation Triangulation” adında olan ve Apple cihazlarda, bilhassa iPhone’larda yer edinen donanımsal güvenlik açığını hedef alan bu “operasyon” doğrusu “hücum”, pek oldukca değişik yönüyle hem siber güvenlik araştırmacılarının hem de teknoloji dünyasının dikkatini çekmişti. Söz mevzusu saldırının bilgileri da, 2023 yılı Aralık ayının sonunda 37. Chaos Communication Congress (37C3 – Kaos İletişim Kongresi) kapsamında meydana getirilen bir sunumla paylaşıldı.
Iyi mi bir saldırıydı?
Operation Triangulation, siber saldırganların iPhone cihazlardaki donanım özelliklerini ve güvenlik açıklarını kullanarak, bilhassa güvenlik araştırmacılarını hedef almış olduğu bir takım saldırıyı kapsıyor. Bu hücum, cihazların güvenlik katmanlarını aşıp, kullanıcı bilgilerine erişmeyi amaçlıyordu.
Kullanılan açıklar nelerdi?
Hücum, (her ne kadar başka açıklar kullansa da) temelde CVE-2023-38606 olarak malum bir güvenlik açığı üstüne kurulu. Bu açık, iPhone cihazlarının donanımında bulunan ve saldırganların cihaza uzaktan erişim sağlamasına olanak tanıyan bir zafiyeti işaret ediyor.
Hücum ve açık iyi mi tespit edildi?
Güvenlik araştırmacıları, anormal davranışlar ve sistem günlüklerinde meydana gelen şüpheli etkinlikler üstünden bu operasyonun izini sürdü. Ek olarak, saldırıların benzersiz doğası ve karmaşıklığı, detaylı bir çözümleme ve araştırma sürecini de gerektirdi.
Iyi mi düzeltildi?
CVE-2023-38606 güvenlik açığının kapatılması için Apple tarafınca iOS 15.7.8 ve iPadOS 15.7.8 güncellemeleri 24 Temmuz 2023 tarihinde gösterildi. Kullananların bu tür tehditlere karşı korunması için cihazlarını son olarak yazılım sürümüne güncellemelerinin ehemmiyet taşımış olduğu da o dönem meydana getirilen haberlerde kendisine sıkça yer buldu.
Saldırının deposu belirsizliğini koruyor
Apple cihazlardaki söz mevzusu donanım açığının, hackerlar tarafınca iyi mi yakalandığı belirsizliğini koruyor. Talih eseri bulunmuş olabileceği benzer biçimde, Apple’ın çalmış olduğu donanım üreticilerden birinden ya da firmanın içinden sızdırılan informasyon de bunun sebebi olabilir.
Bu hücum, siber güvenlik dünyasında yaşanmış olan mühim bir vaka olarak kayıtlara geçti ve donanım seviyesindeki güvenlik açıklarının ne kadar ciddi sonuçlar doğurabileceğini bir kez daha gözler önüne serdi.