Apple’ın yeni Passwords uygulaması ile ilgili ciddi bir güvenlik açığı ortaya çıktı. iOS 18’in Eylül 2024’te piyasaya sürülmesiyle kullanıma sunulan bu uygulama, bazı kullanıcıların şifrelerini tehlikeye atabilecek bir durumla karşı karşıya kaldı.
HTTP Protokolü Neden Tehlikeliydi?
Passwords uygulaması, bağlantıları açarken veya simgeleri çekerken daha az güvenli olan HTTP protokolünü kullanıyordu. Bu durum, kötü niyetli bir kişinin, kullanıcıların ağ trafiğini izleyerek hatalı web sitelerine yönlendirme yapmasına olanak tanıyordu. Kullanıcıların şifrelerini çalmak için sahte giriş sayfaları oluşturulabiliyordu.
Güvenlik Açığı Ne Zaman Ortaya Çıktı?
Güvenlik araştırma şirketi Mysk, bu açığı Eylül ayında fark etti ve Apple’a raporladı. Apple, bu sorunu Aralık’ta çıkardığı iOS 18.2 güncellemesi ile çözdü. Ancak bu açık, üç ay boyunca kullanıcıların erişimine açıktı ve bu süre zarfında güvenlik güncellemesi yapmayan kullanıcılar tehdit altında kalmıştı.
Güncelleme Çağrısı
Apple, bu açığın varlığını Mart 2025‘te kamuoyuna duyurdu. Kullanıcıların, eğer hala iOS 18.2 öncesi bir sürüm kullanıyorsa, acil güncelleme yapmaları gerektiği vurgulanıyor. Ancak, saldırının gerçekleştirilme olasılığının nadir olduğu bildirildi.
Passwords uygulamasından şifrelerinizi tehlikeye atmak için kullanıcıların şu koşullarda hareket etmesi gerekti:
- Kullanıcının, kötü niyetli kişilerin de bulunduğu bir Wi-Fi ağı kullanıyor olması gerekir.
- Kötü niyetli kişinin açığı fark edip onu kötüye kullanmaya çalışması gerekmektedir.
- Kullanıcı, Passwords uygulamasını açıp, bir şifreye tıklamalıdır.
- Kötü niyetli kişi, bu aşamada trafiği izleyip sahte bir giriş sayfası yerleştirmelidir.
Passwords uygulaması, otomatik doldurma işleviyle kullanıldığında bu güvenlik açığından etkilenmiyordu. Sorun yalnızca uygulama içerisinden bir giriş sayfası açıldığında yaşanıyordu.
Bu durum dışında, genel anlamda Passwords uygulamasının kullanılması güvenliydi. HTTP istekleri, otomatik olarak HTTPS’ye yönlendirildiği için kullanıcıların çoğu bu açığın etkisi altına girmedi.
Ne Yapmalısınız?
Eğer bu güvenlik açığı hakkında endişeleriniz varsa, ilk olarak cihazınızı güncellemeyi düşünmelisiniz. Passwords uygulamasını kullanırken şifrelerinizi değiştirmediyseniz veya hiçbir bağlantu üzerinden giriş yapmadıysanız, güvendesiniz demektir.
Ancak, üst düzey güvenlik için bankacılık, e-posta ve iş hesaplarınızdaki şifrelerinizi yenilemek her zaman faydalıdır.