iCloud giriş ekranından Apple hesap bilgileri çalınabilir!

Daha önce iOS geliştiricisi Felix Krause sahte oturum açma pencereleri hakkında kullanıcıları uyarmıştı. Başka bir geliştirici ve güvenlik araştırmacısı olan Anthony Agatiello işi daha ileri boyuta götürdü.

Kısa süre önce Felix Krause, sahte pop-up penceleriyle Apple kullanıcı adı ve şifrelerin çalınabileceğini ortaya çıkarmıştı. Anthony Agatiello isimli başka bir yazılımcı ise iOS Phishing hakkında daha fazla araştırma yaptı ve korkunç bir gerçeği daha ortaya çıkardı.

Nasıl çalışıyor?

Agatiello'nun açıklamasına göre kötü niyetli bir iOS geliştiricisi kendi kodunu çalıştırarak, kimlik bilgilerine ulaşabiliyor.

Durumu biraz daha açıklarsak, mesela bir kullanıcı iPhone'ununda iTunes şifresini girmesini isteyen pop-up'la (Sistem pop-up görünümlü) karşılaştı. Ancak kullanıcı şifreyi girmek istemedi ve İptal seçeneğine tıkladı diyelim. Bu sefer Ayarlar uygulaması açılıyor ve iCloud kimlik bilgilerinin girilmesi isteniyor. Bu açılan kısım Ayarlar uygulamasının bir parçası olan iCloud giriş ekranı olarak görünüyor. Yani her şey gayet düzgün ve resmi olarak görünüyor. Fakat işin korkunç tarafı bir geliştirici burada "Oturum açma" düğmesine basıldığında kimlik bilgilerinin kendisine gönderilmesini isteyen bir kod çalıştırabilir.

Bu oturum açma istemi iOS cihazlarda bulunan özel bir kısma dahildir. İki farklı yöntem sayesinde kod yüklenebiliyor ve Apple'ın özel API'leri tarafından tespit edilmesi engellenebiliyor.

Ne gibi güvenlik önlemi alınabilir?

Aslında bu önemli güvenlik zafiyeti Apple tarafından kolaylıkla düzeltilebilir. Bunun dışında kullanıcıların kendilerince alabilecekleri önlemler var.

-İki faktörlü kimlik doğrulamayı mutlaka kullanın.

-Home tuşuna iki kere basarak açık olan uygulamaların olduğu çoklu pencere ekranına bakın ve hangi uygulamanın şifrenizi istediğini görün. Üçüncü parti bir uygulama olmadığından emin olun.

-Apple kimlik bilgisini yalnızca dahili Ayarlar uygulaması içine veya diğer uygulamalar tarafından gösterilmeyen gerçek sistem pop-up'larına girmelisiniz.

Daha önce belirttiğim gibi bu açık Apple tarafından kolaylıkla düzeltilebilir, ancak problem yok olsa bile uyarılar halen kötü niyetli şekilde kullanılabilir. Bu yüzden sistem uyarıları ve geliştiricilerin uygulamaları arasında belirli bir fark olmalı. Eğer bu fark olmazsa birbirlerinden ayırtedilemezler. Apple bu konu hakkında şimdilik açıklama yapmadı.

HABERİN DEVAMI
X
Sitelerimizde reklam ve pazarlama faaliyetlerinin yürütülmesi amaçları ile çerezler kullanılmaktadır.

Bu çerezler, kullanıcıların tarayıcı ve cihazlarını tanımlayarak çalışır.

İnternet sitemizin düzgün çalışması, kişiselleştirilmiş reklam deneyimi, internet sitemizi optimize edebilmemiz, ziyaret tercihlerinizi hatırlayabilmemiz için veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız.

Bu çerezlere izin vermeniz halinde sizlere özel kişiselleştirilmiş reklamlar sunabilir, sayfalarımızda sizlere daha iyi reklam deneyimi yaşatabiliriz. Bunu yaparken amacımızın size daha iyi reklam bir deneyimi sunmak olduğunu ve sizlere en iyi içerikleri sunabilmek adına elimizden gelen çabayı gösterdiğimizi ve bu noktada, reklamların maliyetlerimizi karşılamak noktasında tek gelir kalemimiz olduğunu sizlere hatırlatmak isteriz.