Bir bilgisayar korsanı, Perşembe günü Apple’ın Güvenli Şifreli İşlemci’si (SEP) için elinde bir yazılım şifre çözme anahtarı olduğu iddiası ile anahtarı herkese açık olarak yayınladı ve bu başlangıçta iOS güvenliğinin tehlikeye girdiğine dair endişeler yarattı.
Apple’ın Güvenli Şifreli İşlemci (SEP), Apple Watch Series 2, iPhone 5, iPad Air, iPad mini 2 ve 3 ve sonraki A serisi yongaları çalıştıran A7 işlemcisi için tüm şifreleme işlemlerini yürütüyor. Şifrelenmiş SEP, sistemin geri kalanından tamamını izole ediyor ve çekirdek veriler tehlikeye girse bile veri koruma bütünlüğünü korumak için Touch ID işlemlerini, şifre doğrulamalarını ve diğer güvenlik işlemlerini ayrı bir OS üzerinde yürütüyor.
SEP’nin bunu yapmasının yollarından biri, kimlik doğrulama amacıyla her cihaz için Benzersiz Kimlik (UID) üretmektir. UID, bir aygıt yeniden başlatıldığında otomatik olarak değişir ve sistemin diğer bölümleri tarafından bilinmez; bu da güvenliğini artırır.
Bunun ötesinde, SEP’in aslında nasıl çalıştığını Apple dışında kimse bimiyor fakat tasarlanışı gereği hakkında bazı şeyler biliniyor. Bunlardan birisi de sahip olduğu izolasyon sistemi ve bu sistem ile bilgisayar korsanlarının sisteme müdehale ederek kod yürütmelerini mümkün olduğunca engellemek için sistemin karmaşık bir şekilde çalışmasını sağlamak.
Dün GitHub‘da paylaşılan şifre çözme anahtarı, bilgisayar korsanlarının Güvenli Şifreli İşlemci’de depolanan verilere erişmesine izin vermiyor ancak bilgisayar korsanlarının ve güvenlik araştırmacılarının onu denetleyen ve koddaki zayıf noktaları belirleyen yazılımın şifresini çözmesine izin verebilir.
Şifre çözme anahtarını serbest bırakan ve TechRepublic’e konuşan bilgisayar korsanı Xerub, Apple’ın kodu gizlenmesine yönelik çabasının kendisinde endişe yarattığını iddia etti. SEP’in arkasında saklandığı gerçeğinin kendisini endişelendirdiğini söyleyen bilgisayar korsanı, SEP’in inanılmaz bir teknoloji olması ve bunun bir “kara kutu” olması gerçeğine rağmen güvenlik konusunda sisteme çok az şey kattığını da sözlerine ekledi. Bilgisayar korsanı, SEP’in inanılmaz bir teknoloji olduğu gerçeğini inkar etmediğini ancak güvenlik için ona güvenmenin iyi bir fikir olmadığını belirtti.
Bilgisayar korsanı, şifre çözme anahtarı ile SEP’in genel olarak incelenebileceğini ve bunun uzun vadede SEP’in güvenliğine katkı saplayacağını söyleyerek, niyetinin kötü olmadığını aksine yapıcı olduğunu ima etmiş oldu.
Xerub, teorik olarak şifre çözme anahtarının SEP’nin çalışmalarını yerine getirmesini izlemek için kullanılabileceğini söylüyor. Bu, potansiyel olarak bilgisayar korsanlarının süreçleri ters mühendislik yaparak, parolalar ve parmak izi verileri de dahil olmak üzere diğer kullanıcı verilerine erişmesine izin verebilir.
Daha uzun vadeli etkilerin ne olabileceği henüz belli değil ancak Apple içinden yetkili bir isim TechRepublic’e açıklama yaparak, SEP anahtarının piyasaya sürülmesinin müşteri verilerini doğrudan etkilemediğini ve bunun için özel bir çalışma yapılmayacağını açıkladı.
