Kurumsal IT-Teknoloji Eğitimleri-Eğitim Takvimi

Apple Yeni Çıkarttığı Özelliğini Tamamen Kaldırmak Zorunda Kaldı

Apple iPhone ve iPad kullanıcıları için yeni bir özellik çıkarttı. Ancak o kadar sorunluydu ki özelliği geri çekmek zorunda kaldı.
 
Kasım ayına Apple “Notify” özelliğini App Store için devreye aldı. Parlak turuncu buton eğer tıklanırsa oyun ya da uygulama App Store’a geldiğinde iCloud posta adresine uyarı geliyordu.
 
Vulnerability Lab güvenlik araştırmacısı Benjamin Kunz Mejri iTunes Notify özelliği ve iCloud postasında birkaç zafiyet tespit etti.
 
Henüz çıkmamış bir uygulamada bu özelliği kullanmak istediğinizde cihazınızdan cihaz adı ve iCloud eposta numarası bilgilerini alıyor ve uygulama çıktığında size eposta ile uyarı geliyor.
 
Ancak cihaz ismi parametresinde girdi geçerleme yapılmadığı için buraya istediğimiz zararlı javascript kodunu yazabiliyoruz. Eposta gittiğinde de kullanıcının cihazında çalışabiliyor.
 
Dahası, ikinci açıklık ile de iCloud eposta hesabı değerini eposta sahibinden teyit alınmadan değiştirebiliyoruz.
 
Böylece kendi cihazımızdan çıkmamış bir uygulama için bu özelliği bir kurban seçip onun epostasına Apple’dan zararlı kod içeren bir şekilde uyarı epostası gitmesini sağlayabiliyoruz.
 
Mejri 15 Aralık tarihindeki Super Mario Run çıkışı için yaptığı denemede başarılı olduğunu belirtiyor.
 
Apple konudan haberdar edilmiş ve yama çıkartmak için çalışmalara devam ediyor durumda.