Akıllı telefonların hacklenmesi hadisesini biz her hengam için tıpkı biçimde düşünüyoruz. Gelen bir iletideki inançlı olmayan linke tıklamak, belgisiz kaynaktan bir tatbik indirmek ya da farklı bir formda inançlı olmayan süreçler yapmak gerektiğine inanıyoruz.
ABD’nin Las Vegas kentinde gerçekleşen Black Hat güvenlik konferansında konuşan Google Project Zero araştırmacısı Natalie Silvanovich, Apple’ın iOS iletileşme pratiğinde ‘etkileşimsiz’ olarak tabir ettiği yanlışları açıkladı. Bu cürümlerden faydalanan insanlar, oburlarının telefonunun denetimini ellerine alabiliyor. Apple bu kusurların beşini gidermiş olsa da geçmişte çözülmesi gereken birkaç sorun kalmış durumda.
Silvanovich, bu yanlışların her türlü komutun uygulanabileceği, en makûs durumda cihaz sahiplerinin zarar görebileceği haberini paylaştı. Project Zero’da Silvanovich ve bir arada çalıştığı arkadaşı Samuel Gross’u bu işi incelemeye iten ise WhatsApp’ın arayan karşılık vermese bile telefonuna ulaşmayı sağlayan açığı oldu.
Misal bir açığı SMS, MMS ve sesli bildirilerde gözlemlemeyi bekleyen araştırmacı o bahiste başarısız olsa da, daha inançlı olmasını beklediği iMessage’ın pek çok kullanılabilir açığı olduğunu keşfetti.
iMessage, animojilerden öteki tatbikler ile koordinasyonlu çalışan oldukça kompleks bir ileti sistemi. Bu nedenle de programın açıkları ve zayıf noktaları olması daha muhtemel hale geliyor.
Açıklardan biri, şahsi olarak hazırlanmış bir ileti sayesinde insanların tüm SMS haberlerinin saldırganın eline geçmesine sebep oluyor. Kurbanın bu iletisi açması bile gerekmiyor. Apple sıradanda bu duruma karşı tedbirlere sahip olsa da iMessage üzerinden bu hücum, firmanın kendi güvenlik sisteminin mantığına nazaran oluşturulduğu için akın iletilerini makul ve inançlı kabul ediyor. Bulunan öteki açıklar, kurbanların telefonlarına yeniden ileti üzerinden zararlı yazılım yüklemeyi mümkün kılıyor.
Bu tipten akınlar, münhasıran geniş çaplı hack atakları için sık sık kullanılıyor. Bir yazılım ne kadar gelişirse o kadar çok farklı ortamdan taarruza açık oluyor. Bu nedenle firmalar mütemadi güvenliklerini geliştirmeye çalışsa da bütün açıkları birden kapatmak mümkün olamayabiliyor.
Bu türlü akınlardan korunmak için yapılacak en temel şey ise tatbikleri daima aktüel tutmak.