Apple, gizlilik odaklı iPhone ve iPad sahiplerini rahatsız edebilecek iki ilginç hatayı düzeltti.
Apple’ın VoiceOver erişilebilirlik özelliğiyle ilgili bir sorun olan ilki, iPhone’ların veya iPad’lerin hassas şifreleri yüksek sesle duyurmasına neden olmuş olabilir. Yeni iPhone modellerindeki sesli mesajları etkileyen diğer sorun, kullanıcıların kaydedildiğini anlamadan önce kısa saniyeler boyunca kayıt yapmasına neden olabiliyordu.
Hem iOS hem de iPadOS için yeni işletim sistemi sürümleri mevcut (18.0.1), her hatayı düzeltmek sırasıyla geliştirilmiş doğrulama ve kontrollerle. Kullanıcıların savunmasız kalmamak için cihazlarını güncellemeleri gerekir.
Jamf’in portföy stratejisinden sorumlu başkan yardımcısı Michael Covington’un belirttiği gibi, “İyi haber şu ki, vurgulanan bu sorunlardan hiçbiri uzaktan erişim içermiyor. Bunlar aslında cihazın kullanımıyla ortaya çıkacak sorunlar ve kullanıcı gizliliğidir. sonuçta risk altında.”
Yine de, “Mobil cihazı herhangi bir kapasitede iş için kullanan işletmelere, her iki güvenlik sorununa da yakından dikkat etmelerini ve cihazları mümkün olan en kısa sürede güncellemek için uygun önlemleri almalarını öneriyorum” diyor.
Hata #1: Şifreleri Yüksek Sesle Okumak
İlk sayı, görme engelli kullanıcılara ekranlarındaki çeşitli öğelerin (metin, düğmeler, resimler vb.) sesli açıklamalarını sağlayan erişilebilirlik özelliği olan VoiceOver’ı içeriyor. VoiceOver ayrıca kullanıcıların sesli komutları ve hareketleri kullanarak cihazlarında gezinmesine de olanak tanıyor.
Belki de bir cihazdaki her şeyin şifreler gibi yüksek sesle okunması gerekmemektedir. Geçen ay, iOS ve iPadOS 18’in bir parçası olarak Apple, kullanıcıların giriş bilgilerini cihazlarında kolayca saklamasına ve yönetmesine olanak tanıyan yepyeni bir uygulama olan “Şifreler”i yayınladı. CVE-2024-44204, VoiceOver’ın bu tür bir kullanıcının şifrelerini okumasına izin verebilecek bir mantık sorunudur. Bu durum esas olarak 2018’den bu yana piyasaya sürülen tüm iPhone ve iPad modellerini etkiledi.
VoiceOver varsayılan olarak kapalıdır; bu, potansiyel olarak yalnızca belirli iPhone kullanıcılarının etkilendiği anlamına gelir.
Covington şunu belirtiyor: “Erişilebilirlik özelliklerinin kötüye kullanıldığını ilk kez görmüyoruz. Önceki örnekler arasında, ekrandaki ayrıntıları yakalamak ve cihazdan veri sızdırmak için hatalı davranan uygulamalar tarafından kullanılan ekran okuyucu teknolojisi yer alıyor. Neyse ki erişilebilirlik özelliklerinin çoğu, kapsamlı denetimlerden geçiyor Güvenlik ve gizlilik testleri nedeniyle bu senaryolar sıklıkla ortaya çıkmıyor.”
Hata #2: Sesli Mesajlara Çok Erken Başlamak
iPhone kullanıcıları hareket halindeyse, söyleyecek çok şeyi varsa veya yalnızca parmakları yorgunsa kaydetmeyi seçebilirler iMessage’da sesli mesajnormal bir metin yerine. Mesaj kutusunun sol tarafındaki artı işaretine basıp “Ses”i seçtikten sonra cihaz, mesaj kutusunun yerinde kırmızıyla vurgulanmış bir ses dalgasıyla ve kutunun içinde küçük turuncu bir noktayla kayda başladığını belirtecektir. ekranın üst kısmında hap boyutunda Dinamik Ada.
Yakın zamanda bir güvenlik araştırmacısı, sesli mesajların, kullanıcılara mikrofonlarının sıcak olduğu fark edilmeden önce birkaç saniyelik ses yakalayabildiğini keşfetti. Sorun CVE-2024-44207 olarak etiketlendi ve yeni iPhone 16’nın tüm modellerini etkiliyor.
Her ne kadar nispeten küçük bir sorun gibi görünse de (ve çoğu durumda öyle de olabilir), Covington şunu belirtiyor: “Cihaz işlevi ile ilgili görsel göstergeler arasındaki bu kopukluk, Jamf’in kendi tehdit araştırma ekibinin bağlantı kurduğu bir şey. Saldırganların kullandığı kalıcılık teknikleri Başarılı bir istismarın ardından cihazda varlığını sürdürmek için. Bu hatanın kötüye kullanılmadan önce ele alınması Apple için büyük bir kazançtır.”
Ne VoiceOver ne de sesli mesaj güvenlik açığı, Ortak Güvenlik Açığı Puanlama Sistemi’nde (CVSS) henüz bir derecelendirme almadı ve şu anda daha fazla ayrıntı kamuya açıklanmadı.