Güvenlik Açıkları

Bir iPhone X Açığı, Hacker’lara Silinmiş Resimlere Erişmeyi Sağlıyor

Şu sıralarda sona eren Pwn2Own 2018 yarışmasında iki araştırmacı, yarışmayı kazanmaya çalışırken hacking becerilerini göstermişlerdi. Fakat bunu yaparken, iPhone X’i kurcalarken garip bir hacking işlemine imza attılar. Saldırganlara, silinen dosyaları ve fotoğrafları geri elde etmeye yarayan bir iPhone X açığı bulduklarını iddia ettiler.

Richard Zhu ve Amat Cama ikilisi fluoroacetate olarak bu hacking işlemi için birlik oldular. Gösterildiği gibi bahsettiğimiz bu hack, basitçe iPhone X’de “Recently Deleted” özelliğini exploit’lemeyi içeriyor. iPhone’lar, silinen herhangi bir dosyayı veya fotoğrafı 30 gün boyunca “recently deleted” olarak saklar ve bu zaman zarfı bitiminde sonsuza dek yok olurlar. 30 gün sonrasında iddia edildiğine göre o dosyaları Apple bile saklamazmış. Yine de bu zaman zarfında, silinen dosyalar ve fotoğraflar kurtarılmaya maruz kalır.

Araştırmacılar, iOS 12.1’de çalışan bir cihazın Apple Safari tarayıcısındaki bir açığı exploit’lediler. Trend Micro’s Zero Day Initiative de bu hack’i aşağıdaki tweet ile onayladı.

“Başarılı! @fluoroacetate ikilisi başarılı biçimde iPhone X’de bir tarayıcı saldırısı gösterdi. Şimdi de doğrulaması ve detayları için açıklama odasına gidelim. #Pwn2Own Tokyo’nun ikinci günü için iyi bir başlangıç. #P2OTokyo”

Araştırmacılar, hack sırasında bir resmi geri getirirken, söylendiğine göre bu numara neredeyse silinen her dosyayı geri getirmeye yaramış.

Fix’i Gelebilir

Saldırganlar detayları sunduktan sonra, Zero Day Initiative onları bir başka tweet’de açıkladı.

“Doğrulandı! @fluoroacetate ikilisi, iPhone’dan veri çalmak için JIT’de bir bug ile Out-Of-Bounds Access’i birleştirdi. Demoda, önceden silinmiş bir fotoğrafı yakaladılar. Böyle yaparak, kendilerine 50 bin dolar ve 8 Pwn Ustası puanı kazandılar. #P2OTokyo

Yarışma kuralları gereğince, bu açık Apple’a raporlandı. Bundan dolayı, açığın kısa sürede giderilmesi için bir fix bekleyebiliriz. O zamana kadar iPhone X kullanıcıları, fix gelinceye dek, olası bir hack girişimi için tetikte kalmalılar.

Bu hack, keşfinden sonra kullanıcılar belki bir nebze sıkıntı yaşayabilir belki lakin fluoroacetate için oldukça iyi haberle geldi. Bu açığın başarılı gösterisi kendilerine sonuçta 50 bin dolar ve 8 Pwn Ustası puanı kazandırdı.

Etiketler
Daha Fazla Göster

YavuzhanD

Kocaeli Üniversitesi Bilgisayar Programcılığı öğrencisiyim. Sofya'da Todor Kableshkov Higher School of Transport'da Erasmus+ yaptım.

İlgili Makaleler

Bir Yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir