Geçtiğimiz günlerde Apple, iCloud Private Relay Özel Geçiş üzerinde bulunan bir güvenlik sarihi nedeniyle gündemimize gelmişti. Mevzubahisi sarih nedeniyle kullanıcıların IP adresleri, kolay birkaç operasyonun ardını bilinebiliyordu. macOS üzerinde düzenlenen mevzubahisi sualin, iOS 15 aygıtlarda hala devam ettiği bildirilmişti.
Bunun üzerinden çok zaman geçmeden Apple yeniden değişik bir sarihle karşımızda. Bu sefer kayıp eşyaların bulunmasını sağlayan AirTag mahsulüyle gündemimizde olan işletmenin, bu mevzu hakkında, çözümü kendisi için kolay olsa da pek istekliymiş gibi görünmediğini söyleyebiliriz.
AirTag, kayıp moduna alınıyor
AirTag’ler kaybedilen eşyaları bulmak için üretilmiş olsalar da kendilerinin de kaybedildiği sık sık oluyor. Bu nedenle içlerinde ‘kayıp modu’ bulunuyor. Bu mod sayesinde kayıp AirTag’i bulan bireyler, bu makineleri telefonlarına taratıyor ve sahiplerinin telefon numarasını görüp kendisini bilgilendirebiliyor.
Aygıt, telefona okutulduğunda sahibinin telefon numarası, AirTag’i bulan bireyin iPhone’unda görünüyor. Bunun ardından iPhone, bu numarayı Apple’ın sitesine gömüyor. Mesele bütün olarak telefon numarası kısmında uyuyor. Buradaki güvenlik mevzusuna pek de fazla odaklanılmadığından telefon numaranızı girmeniz gereken yere ‘rastgele bir şey’ girebiliyorsunuz. Buna hasarlı kodlar da dahil.
Bulunan bir AirTag taranıyor ve sahte bir sitede şahsi bilgilerin girilmesi isteniyor
Başka Bir Deyişle hasarlı bir XSS kodunun girildiğini düşünürsek Apple, bunu dolaysız siteye gömmüş oluyor. Bu da neticesinde oltalama usulüyle yapılan hücumları büyük miktarda basitleştiriyor. Buna misal olarak kayıp bir AirTag tarandığında sahte bir iCloud giriş ekranının çıkmasını gösterebiliriz. Bu sayede bireyler, giriş bilgilerini, farkında olmadan karşı tarafa aktarmış olur.
Sarihi ortaya koyan Bobby Rauch, 20 Haziran’da bu sarihi Apple’a bildirmişti. Bunun ardından sualin üzerinde çalışıldığı söylenerek devamlı bekletilen Rauch, 90 günün ardından meseleyi sarihçe paylaşacağını söyledi. Mesele hala giderilmeyince de yazısını paylaştı.
AirTag’ler taratıldığında sizden rastgele bir siteye giriş yapmanızı istemezler. Bu nedenle bir AirTag alacakken bu haber sizi vazgeçirdiyse, kullanmakta rastgele bir mesele olmadığını, yalnızca temkinli olmakta fayda olduğunu belirtelim.
