İşte bu yüzden Apple cihazlarınız çok daha güvenli hale gelmek üzere

Apple cihazları güvenlik ve gizlilik özellikleriyle ünlü olsa da, bilgisayar korsanlığı veya diğer saldırılardan etkilenmezler. Neyse ki, Apple cihazları ileride çok daha güvenli hale gelmek üzere.

İçindekiler

    • İlgili:
  • Apple'ın güvenlik politikası değişiyor
    • Hata Ödül Programı
    • Jailbreak'li iPhone'lar
  • Önemli güvenlik açıkları
    • Yüz Kimliği Atlaması
    • Kişiler Uygulaması
    • Kötü Amaçlı Kablolar
    • İlgili Mesajlar:

İlgili:

  • WWDC'de duyurulan iOS 13 Gizlilik ve Güvenlik iyileştirmeleri
  • İşte macOS Mojave ve iOS 12'ye gelen yeni Güvenlik ve Gizlilik özellikleri
  • Mac güvenliği ve virüslerden kaçınma ipuçları

Bunun nedeni, bu ay Las Vegas'taki Black Hat güvenlik konferanslarında açıklanan Apple politikası değişiklikleri. Buna ek olarak, Black Hat ve Def Con 2019'da ortaya çıkan bazı önemli açıklar da var.

İşte son Apple güvenlik haberleri hakkında bilmeniz gerekenler.

Apple'ın güvenlik politikası değişiyor

Apple'ın güvenlik mühendisliği başkanı Ivan Krstić, bu yılki Black Hat konferansında birkaç önemli duyuru yaptı.

Duyurular, etik bilgisayar korsanlarını ve güvenlik araştırmacılarını hedef alırken, Apple'ın güvenlik politikalarında büyük değişiklikleri temsil ediyor. Bunlar, ileriye dönük çok daha güvenli cihazlarla sonuçlanabilir.

Hata Ödül Programı

Apple Güvenliği - Hata Ödülü
Apple'ın Black Hat 2019'daki duyurusu. @mikebdotorg aracılığıyla görüntü.

Bu Ağustos'taki Black Hat güvenlik konferansından Apple ile ilgili en büyük haber, Apple'ın hata ödül programında önemli bir genişleme oldu.

Esasen, bir hata ödül programı, etik bilgisayar korsanlarının ve güvenlik araştırmacılarının mevcut platformları güçlendirmeye yardımcı olmasının bir yoludur. Örneğin, iOS'ta bir hata veya güvenlik açığı bulduklarında bu kusuru Apple'a bildirirler ve bunun için ödeme alırlar.

Değişikliklere gelince, Apple hata ödül programını ileriye dönük olarak macOS cihazlarına genişletiyor. Ayrıca, bir istismarın maksimum boyutunu istismar başına 200.000 dolardan istismar başına 1 milyon dolara çıkarıyor. Bu, elbette, ne kadar şiddetli olduğuna bağlı.

Apple ilk olarak 2016'da bir iOS hata ödül programı başlattı. Ancak bu Ağustos ayına kadar macOS için böyle bir program yoktu (ki bu, doğası gereği saldırılara karşı Apple'ın mobil işletim sisteminden daha savunmasızdır).

Bu, bir Alman bilgisayar korsanının başlangıçta belirli bir kusurun ayrıntılarını Apple'a bildirmeyi reddetmesiyle ünlü sorunlara neden oldu. Bilgisayar korsanı, sonunda Apple'a ayrıntıları vermesine rağmen, bunun nedeni olarak ödeme eksikliğini gösterdi.

Jailbreak'li iPhone'lar

Apple Güvenliği - Geliştirici iPhone'lar
Apple'ın iPhone güvenlik araştırma programını anlatan bir slayt. @0x30n ile görüntü.

Apple ayrıca, iOS'u kırmaya çalışabilmeleri için deneyimli bilgisayar korsanlarına ve güvenlik araştırmacılarına özel iPhone'lar sağlayacaktır.

iPhone'lar, iOS'un tüketici sürümüne eklenen birçok güvenlik önleminden yoksun, hapse girmeden önce "dev" cihazlar olarak tanımlanıyor.

Bu uzmanlar, penetrasyon testçilerinin temeldeki yazılım sistemlerine çok daha fazla erişmesine izin vermelidir. Bu şekilde, yazılımdaki güvenlik açıklarını çok daha kolay bulabilirler.

iPhone'lar, Apple'ın gelecek yıl başlatmayı planladığı iOS Güvenlik Araştırma Cihazı Programının bir parçası olarak sağlanacak.

Yukarıda belirtilen "dev" iPhone'lar için mevcut bir karaborsa olduğunu belirtmekte fayda var.

Bu yılın başlarındaki bir Anakart raporuna göre, bu ön sürüm iPhone'lar bazen Apple'ın üretim hattından kaçırılıyor. Oradan, sonunda hırsızlara, bilgisayar korsanlarına ve güvenlik araştırmacılarına ulaşmadan önce genellikle yüksek bir fiyat alırlar.

Önemli güvenlik açıkları

Güvenlik politikası değişiklikleri ve hacker iPhone'ları Black Hat ve Def Con'daki en büyük haberler olsa da, güvenlik araştırmacıları ve beyaz şapkalı bilgisayar korsanları da Apple ile ilgili bazı önemli bilgileri ortaya çıkardı. güvenlik açıkları.

Bir Apple cihazı kullanıyorsanız ve veri gizliliğinizi ve güvenliğinizi korumak istiyorsanız bunlara dikkat etmeniz önemlidir.

Yüz Kimliği Atlaması

Apple Güvenliği - Yüz Kimliği
Tencent'teki araştırmacılar tarafından geliştirilen bu özel gözlükler, Face ID'yi atlayabilir. Threatpost aracılığıyla görüntü.

Apple, Face ID'nin Touch ID'den çok daha güvenli olduğunu söylüyor. Ve pratikte, atlamak aslında çok daha zordur. Ancak bu, istismarların olmadığı anlamına gelmez.

Tencent'ten araştırmacılar, Face ID'nin "canlılık" algılama sistemini kandırabildiklerini keşfettiler. Esasen, insanlar üzerindeki gerçek veya sahte özellikleri ayırt etmeyi amaçlayan bir ölçüdür ve insanların siz uyurken yüzünüzü kullanarak cihazınızın kilidini açmasını engeller.

Araştırmacılar, sadece gözlük ve bant kullanarak sistemi kandırabilecek özel bir yöntem geliştirdiler. Esasen, bu "sahte" gözlükler, bilinçsiz bir kişinin yüzündeki bir gözün görünümünü taklit edebilir.

Bununla birlikte, istismar yalnızca bilinçsiz insanlar üzerinde çalışır. Ama endişe verici. Araştırmacılar, sahte gözlükleri uyuyan bir kişiye takmayı başardılar.

Oradan, kişinin cihazının kilidini açabilir ve bir mobil ödeme platformu aracılığıyla kendilerine para gönderebilirler.

Kişiler Uygulaması

Apple Güvenliği - Kişiler
SQLite veritabanı biçimindeki bir hata, Apple'ın iOS Kişiler uygulamasını saldırılara karşı savunmasız hale getirebilir.

Apple'ın iOS işletim sistemi, duvarlarla çevrili bir platform olarak saldırılara karşı oldukça dayanıklıdır. Kısmen bunun nedeni, platformda imzasız uygulamaları çalıştırmanın kolay bir yolu olmamasıdır.

Ancak Def Con 2019'daki Check Point'teki güvenlik araştırmacıları, Kişiler uygulamasında bilgisayar korsanlarının iPhone'unuzda imzasız kod çalıştırmasına izin verebilecek bir hatadan yararlanmanın bir yolunu buldu.

Güvenlik açığı aslında Kişiler uygulamasının kullandığı SQLite veritabanı biçimindeki bir hatadır. (iOS ve macOS'tan Windows 10 ve Google Chrome'a ​​kadar çoğu platform aslında biçimi kullanır.)

Araştırmacılar, bir kullanıcının şifrelerini çalan bir komut dosyası da dahil olmak üzere, etkilenen bir iPhone'da kötü amaçlı kod çalıştırabildiklerini keşfettiler. Ayrıca kalıcılık kazanabildiler, yani yeniden başlatmanın ardından kod çalıştırmaya devam edebileceklerdi.

Neyse ki güvenlik açığı, kilidi açılmış bir cihaza kötü amaçlı bir veritabanı yüklemeye dayanıyor. Bir bilgisayar korsanının kilidi açılmış iPhone'unuza fiziksel olarak erişmesine izin vermediğiniz sürece, sorun değil.

Kötü Amaçlı Kablolar

Apple Güvenliği - OMG Kabloları
Lightning kablosu hafif görünür, aslında güvenlik araştırmacısı MG tarafından geliştirilmiş özel bir sızma testi aracıdır. O.MG aracılığıyla görüntü.

Bilgisayarınıza rastgele USB sürücüleri takmamanız uzun zamandır tavsiye ediliyor. Yakın tarihli bir gelişme sayesinde, muhtemelen bilgisayarınıza rastgele Lightning kabloları da takmamalısınız.

Bunun nedeni, güvenlik araştırmacısı MG tarafından geliştirilen ve bu yıl Def Con'da gösterilen özel bir bilgisayar korsanlığı aracı olan O.MG kablosu.

O.MG Kablosu, tam olarak tipik bir Apple Lightning kablosu gibi görünür ve çalışır. İPhone'unuzu şarj edebilir ve cihazınızı Mac'inize veya PC'nize bağlayabilir.

Ancak kablonun muhafazası içinde, bir saldırganın bilgisayarınıza uzaktan erişmesine izin verebilecek tescilli bir implant vardır. Fişe takıldığında, bir bilgisayar korsanı diğer görevlerin yanı sıra Terminal'i açabilir ve kötü amaçlı komutlar çalıştırabilir.

Neyse ki, kablolar şu anda yalnızca el yapımı ve her birinin fiyatı 200 dolar. Bu riski azaltmalıdır. Ancak ileride, muhtemelen rastgele Lightning kablolarını Mac'inize takmaktan kaçınmak isteyeceksiniz.

mike - elma
Mike Peterson(Kıdemli Yazar)

Mike, San Diego, California'dan serbest çalışan bir gazetecidir.

Öncelikli olarak Apple ve tüketici teknolojisi konularını ele alırken, kamu güvenliği, yerel yönetim ve çeşitli yayınlar için eğitim konularında geçmiş deneyimlere sahiptir.

Gazetecilik alanında yazar, editör ve haber tasarımcısı dahil olmak üzere epeyce şapka taktı.