Hindistan merkezli güvenlik araştırmacısı Hemanth Joseph, Kasım ayında iOS 10.1’de Wi-Fi kurulum metin alanlarına aşırı uzun bir karakter dizesine girerek Apple’ın hırsızlığa karşı geliştirdiği Etkinleştirme Kilidi özelliğini atlamasına izin veren bir açık keşfetti.
Apple, iOS 10.1.1’deki hataları düzeltti. Ancak SecurityWeek’in belirtildiğine göre Vulnerability Lab’daki araştırmacılar, iOS 10.1.1 de bir iPhone, iPad veya iPod Touch’ta Etkinleştirme Kilidi korumasını atlamak için başka bir yöntem bulmayı başardılar.
Etkinleştirme Kilidi, sahibinin izni olmadan bir iOS cihazının yeniden etkinleştirilmesini engeller. Bir kullanıcı Ayarlar→ iCloud’da iPhone’umu Bul etkinleştirdiğinde otomatik olarak açılır.
Etkinleştirme Kilidi ile cihaza bağlı Apple kimliğiniz, bir etkinleştirme sunucusunda tutulur ve iPhone’um’u Bul’u devre dışı bırakmaya, cihazı silmeye veya yeniden etkinleştirmeye çalıştığınızda Apple ile çapraz kontrol edilir.
Joseph’in iOS 10.1 için bu güvenlik önlemini aşma yöntemi, Etkinleştirme Kilidi ekranında Wi-Fi isteminde Diğer Ağ’ı seçmeyi ve metin alanlarına uzun bir metin dizesini girmeyi içeriyor. Bunu iPad üzerinde test eden Hemanth Joseph iPad’in etkinleştirme sisteminin devre dışı kaldığını belirtiyor.
Vulnerability Labs’taki araştırmacılar, iOS 10.1.1 de çalışan, bir Etkinleştirme Kilidi korumalı cihazın kilidini açmanın bir başka yöntemini gösterdi. Yöntemde iOS’un ekran döndürme ve Night Shift özellikleri kullanılıyor. Vulnerability Labs kurucusu Benjamin Kunz-Mejri, yöntemlerinin yalnızca bir kaç saniyelik zamanda cihaza erişime verdiğini ancak hızlı bir şekilde güç düğmesine basılırsa bu sürenin uzadığını söylüyor.
Bu güvenlik açığının (Joseph’in iPad Smart Cover yöntemi ve Vulnerability Lab one-) ikisinin de birden fazla araştırmacı tarafından çalışıldığı doğrulandı. Smart Cover yöntemi Apple’ın 31 Ekim’de piyasaya sürdüğü iOS 10.1.1’de kapandığı açıklandı.
Fakat ekran döndürme ve Night Shift özelliğini kullanan yöntem iOS 10.1.1’de çalışıyor. Apple, iOS açıklarına karşı yama yapana kadar halka açıklama yapmadığından bu açıkla ilgili çalışma yapılıp yapılmadığı belli değil.
Cupertino şirketi şu anda iOS 10.2’yi test ediyor ve gelecek yazılım güncellemesi ile birlikte bu son Etkinleştirme Kilidi devre dışı bırakma hatasını ortadan kaldırdığını size açıklamayı umuyoruz.
