Yaşar Ateş

System and Security Administration Manager03 Ağustos

Apple AirDrop kullananların dikkatine! Güvenlik açığı bulundu

Apple AirDrop özelliği markanın ekosisteminde yer alan kullanıcıların yoğun olarak kullandığı bir veri transfer yöntemi. Zira, Apple kullanıcıları AirDrop sayesinde iPhone, iPad ve iPod gibi mobil cihazların yanı sıra, Mac bilgisayarları arasında da veri alışverişi yapabiliyor. Bu veri alışverişinin kapsamı ise çok geniş; öyle ki, kullanıcılar fotoğraf, video, döküman, not, websitesi vb. birçok bilgiyi AirDrop aracılığıyla transfer edebilmekte. Bunun üzerine, bluetooth ve Wi-Fi teknolojilerini birlikte kullanan AirDrop’un hızlılığını da ekleyince, özelliğin neden bu kadar popüler olduğunu anlamak pek de zor değil. Ancak görünüşe göre, özellik öyle çok da toz pembe değil. Bugün gelen haberlere göre, AirDrop önemli bir güvenlik açığı barındırıyor. Bu açık 1.5 milyar Apple cihazını etkilemekte ve kullanıcıların e-posta, telefon numarası gibi önemli bilgilerinin gizliliğini tehdit ediyor. İşte o güvenlik açığının detayları ve kişisel verilerini korumak için yapmanız gerekenler…
Aslında, bu güvenlik açığı yeni tespit edilmedi. Zira, bu önemli açık 2019 yılında tespit edilmiş ve Apple’a iletilmiş. Fakat, nerdeyse üstünden iki yıldan fazla bir zaman geçmesine rağmen, Apple henüz konu hakkında bir adım atmış değil. Bugün bildirilen açık ise iki sene önceki problemle yakından alakalı. Öyle ki, açığı tespit eden Technische Universitat Darmstadt’taki Alman araştırmacıları, önceden buldukları açığa bir yenisinin daha eklendiğini bildiriyor.
Alman araştırmacıların söylediğine göre, iki sene önceki tespit edilen açık sadece kullanıcıların telefon numaralarını tehdit etmekteydi. Şimdi bulunan eksiklik ise açığın boyutlarını çok daha büyüten cinsten. Öyle ki, AirDrop özelliğin bu eksiliğinden dolayı kötü niyetli kişiler e-posta, telefon numarası vb. tüm bilgilerinize erişebilir. İşin daha da kötüsü, bu veri hırsızlığının gerçekleşmesi için hangi AirDrop seçeneğini kullandığınızın bir önemi yok. Sadece AirDrop’un paylaş seçeneğine tıklamanız yetiyor.
Apple Airdrop Güvenlik Açığı
Güvenlik açığının nedenleri neler?
Alman bilim adamlarına göre, AirDrop’u güvensiz kılan iki neden var. Bu nedenlerin ikisi de cihazların ilk bağlantı kurma aşamasındaki doğrulama süreciyle alakalı. Sorunlardan ilkinin çıkış noktası Apple’ın AirDrop’ta “Sadece Kişiler (Contacts Only)” seçeneğini sunması. Bu seçeneğin çalışması için AirDrop veri transferi yapan iki cihazında “Kişiler” (rehber) bilgilerine ulaşmak zorunda. Hatta, “Sadece Kişiler” seçeneğini kullanırken, bu bilgi doğrulama sürecinin ilk adımı haline gelmekte. Siz AirDrop’u bu seçenekle kullandığınızda, iki cihazdaki telefon bilgileri birbirinizin rehberinde gerçekten olup olmadığınızı bulmak adına kıyaslanıyor. Tabi, bu da bu bilgilerin paylaşılması demek. Her ne kadar Apple bu bilgileri SHA256 hash fonksiyonu ile enkripte etse de, açıkcası, bu pek bir işe yaramıyor.

Apple Airdrop Güvenlik Açığı

Açığın ikinci nedeni ise yine Apple’ın doğrulama protokolüyle alakalı. Siz “Sadece Kişiler” opsiyonunu kullanmasanız da, Air Drop doğrulama için rehber bilgileriniz kontrol ediyor. Bundan dolayı, Apple’ın şifreleme konusundaki eksiliği yine başımıza bela oluyor. İşin kilit noktası ise, Apple’ın iki cihaz arası paylaştığı; iki kullanıcının da kişisel verilerini içeren AWDL paketlerinde. Hatta daha doğrusu, bu paketleri paylaşma şeklinde. Zira, iki cihaz arası doğrulama süreci başladığında, Apple bu paketleri sadece iki cihaz arasında paylaşmak yerine, bluetooth bağlantısı dahilindeki her yöne atıyor. Bu durum da bu kişisel verilerinize üçüncü bir kişinin ulaşabilmesi demek. Kısacası, eğer kötü niyetli bir veri paylaşımı yapılırken yeteri kadar yakındaysa, bu verile ulaşabilir. Tabi, kişinin bu bilgilere ulaşması yeterli değil. Buna ek olarak, eğer kişisel bilgilerinize ulaşmak istiyorsa, bu kişinin bu paketlerin şifrelemesini aşabilmesi gerek. Her ne kadar bu herkesin yapabileceği bir iş olmasa da, yine de mümkün bir durum.
Apple Airdrop Güvenlik Açığı
Son olarak, Alman araştırmacılar iki kere bildirmelerine rağmen Apple’dan geri dönüş alamadıklarını söylüyor. Hatta, araştırmacılar, Apple’a kendi geliştrdikleri “PrivateDrop” adındaki çözümü de iletmiş. Eğer Apple’dan hala cevap alamazlarsa, konuyu önümüzdeki Ağustos’taki USENIX güvenlik konferansında detaylıca işlemeyi düşünüyorlar.
Apple Airdrop Güvenlik Açığı
AirDrop kapatma rehberi
Eğer sorun düzelene kadar AirDrop’a ara verme niyetindeyseniz, işte AirDrop nasıl kapatılır sorusunun cevabı:

#1- Ekranı sağ taraftan aşağıya kaydırarak denetim merkezini açın.

#2- AirDrop butonuna tıklayın.

#3- Burada önünüze çıkan seçeneklerden “Alma Kapalı (Receiving Off)’yı” seçin.

Kaynak: TheRecord, DigitalTrends, 9To5Mac
 

Hemen kapsam formunu doldurun, size güvenilir sızma testi hizmetimizi verelim.