Google, Tüm Apple Aygıtları Etkileyen Bir Açık Keşfetti
'Sıfır tıklama açıkları', geliştiriciler tarafından fark edilmeyen ve eser ortaya çıktığı anda eserde olan açıkları tanımlamakta …
'Sıfır tıklama açıkları', geliştiriciler tarafından fark edilmeyen ve eser ortaya çıktığı anda eserde olan açıkları tanımlamakta kullanılan bir sözdür. Bu çeşitten açıklar sık görülse de bilhassa büyük üreticiler pek bu yanlışları yapmaz. Hatta Apple, daha evvel bu cinsten bir açık bulana 250 bin dolar ödül vereceğini açıklamıştı.
Görünüşe nazaran firma, bu ödüllerden birini Google’ın Project Zero takımına verecek. Takımın bulduğu sıfır tıklama açığının iPhone’ları ve öteki Apple eserlerini etkilediği belirtildi. Hususla ilgili takımın blog sayfasında açıklama yapıldı.
Apple eserlerinde açık:
Project Zero grubu, sorunun multimedya işlemekte kullanılan ImageIO yapısında olduğunu söyledi. Bu yapı; iOS, macOS, watchOS ve tvOS işletim sistemlerinin tamamında kullanılıyor, hâliyle bu sorun her aygıtta yer alıyor.
ImageIO, bir görsel ya da ileti gönderildiğinde içeriğini bizatihi kıymetlendiriyor ve evrakın ne olduğuna kendisi karar veriyor. Bu çeşit otomatik süreçler de farklı belgelere ziyanlı kodlar saklayabilen hackerların iştahının kabarmasına neden oluyor.
Google analistleri 'fuzzing' adı verilen tekniği kullanarak ImageIO’nun yanılgılı görsel işlemeyle nasıl başa çıktığını inceledi. Akabinde da bu yapı içerisinde 6, OpenEXR isimli üçüncü parti uygulamadaysa ekstradan 8 adet daha açık buldu.
Google, Apple’a açıklar hakkında bilgi verdi:
Açıklar üçüncü parti iletileşme uygulamalarıyla istismar edilebilecek olsa da asıl sorun, uygulamaların bağlı olarak çalıştığı kaynaktan geliyor. Yani sorunun tahlili için Apple’ın bir şeyler yapması gerekiyor. Google analistleri, keşfettikleri açıkları Apple’a bildirdi. Firmanın daha evvel de yayınladığı güncellemelerde bu cinsten açıkları kapattığını biliyoruz. ImageIO açıkları, Ocak 2020 ve Nisan 2020’de yayınlanan yamalarda giderilmişti. OpenEXR sıkıntıları en son güncelleme olan 2.41 güncellemesinde ortadan kaldırmıştı.
Araştırmacılar, kullanıcıların muhakkak cinslerdeki iletilerin sonlandırılmasının yararlı olacağını belirtiyor. Araştırmacılardan Samuel Gross ise takımın keşfettiği açıklar kapatılmasına karşın emsal problemlerin devam ettiğini söylüyordu. Herhangi bir işletim sisteminin büsbütün inançlı olması pek de mümkün değil. Güvenlik uzmanları ve hackerler, bir nevi bitmeyen yarış içerisinde. Bu da sahip olduğumuz yazılımları yeni tutmanın kıymetini vurguluyor.