Apple’ın güvenli iPad kullanım kilidi aşıldı. Apple’ın iOS’lerde kullanılan ‘kullanım kilidi’, sahibinin haricinde herhangi birinin iPhone ya da iPad’lerin kilitlerini açmalarını zorlaştırıyordu. Zira cihazların içerisindeki bütün veriler siliniyor yeni bir cihaz olarak algılamaya başlıyor. Evet, bu kilidi kırmak zor ama yine de mümkün.
iOS kullanım kilidi açığı
Son zamanlarda Apple’ın güvenlik kilidi özelliğinin aşılabileceği 2 açık tespit edildi. Bu açıklardan biri iOS 10.1’i, diğeri de Apple’ın işletim sistemlerinin en sonuncusu olan iOS 10.1.1’i kapsıyor.
Bu açıklardan ilki, Hindistan’da görevli güvenlik araştırmacısı olan Hemanth Joseph tarafından keşfedildi. Joseph geçen ay eBay’dan arkadaşı için iOS 10.1 işletim sistemli bir iPad Air satın aldı. Fakat cihaz kilitliydi. iOS işletim sistemine yabancı olan Joseph, cihazın kilidini açabilmek için çaresizce internette derin bir araştırma yapmak zorunda kaldı. Sonrasında cihazı yeniden açan Joseph, kullanım kilidi ekranına gelene kadar Apple’ın başlangıçtaki kurulum işlemlerini takip etti. Bu ekranda bir Wi-Fi ağı seçmesi isteniyordu. Joseph ‘Diğer Ağ’ seçeneğine tıkladı. Ağ için kullanıcı adı ve şifre girme bölümüne geldiğinde Joseph, bu bölümlere binlerce karakter girişi yaptı. Ta ki cihaz donana kadar binlerce karakteri kopyala/yapıştır yöntemi ile girdi. Cihazın hala çalışıp çalışmadığından emin olmak için kilit butonuna basan Joseph, yeniden başlangıç ekranı ile karşılaştı.
Joseph kurulum işlemini atlayıp, başlangıç ekranına kadar gelme işleminin nasıl gerçekleştiğini tam olarak kavramak için işlemleri tekrarladı. Telefonu uyku moduna alıp tekrar açmanın doğru metod olmadığının farkına varan Joseph, Apple’ın Smart Cover uygulaması yardımı ve zamanında işlemleri yaparak iPad’in başlangıç ekranına başarı ile ulaştı. Ve sonra bu işlemi başından sonuna Google Drive’a yükledi.
Kullanım Kilidi Açığı iOS 10.1.1’de de bulunuyor
Diğer açık ‘Vulnerability Lab (Güvenlik açığı laboratuarı)’da bir araştırma grubu tarafından keşfedildi. Bu ekip popüler markaların ürünlerindeki olası güvenlik açıklarını test etmektedir. Joseph’ın el emeği örneğinde olduğu gibi, bu ekip de kurulum alanlarına aşırı miktarda karakter girişi yaptıktan sonra Apple’ın ‘Smart Cover’ uygulamasında kullandığı püf noktayı kullandı.
Her iki sunum da gösteriyor ki ana ekran kapanmadan önce kısa bir süre için görünür hale geliyor. Fakat Vulnerability Labs’ın kurucusu Benjamin Kunz-Mejri ‘Security Week’e ‘ Ekranı Aç/Kapa düğmelerine hızlıca basmak, iPad’in ana ekranına erişim sağlamanıza imkan tanıyor’ dedi.
Kullanım kilidinin aşılmasının tehlikeleri
Eğer Apple’ın kullanım kilidi özelliği, kilidi aşmada kullanılan basit metodlara karşı koyamamaya devam ederse, hiçbir hackleme bilgisine sahip olmayan birisi bile cihazı komple silip yeni bir cihazmış gibi satabilir. Daha da tehlikeli olanı telefon kullanıcısının şahsi bilgileri şimdi daha kolay erişilebilir durumda. Fotoğraf, kişi listesi, konuşmalar ve diğer bir çok şahsi bilgiler yanlış kişilerin eline düşebilir ve felakete sebep olabilir.
Şükür ki Apple, 16 Kasım’da söz konusu olan güvenlik açıklarından ilkine karşı bir güncellemeyi kullanıma sunduğunu bildirdi. Fakat ikinci açık halen devam etmekte. Bu açığın da iOS 10.2 versiyonunda giderileceğini tahmin ediyoruz.