Wondershare RepairIt Güvenlik Açıkları: Kullanıcı Verileri Tehlikede
Son günlerde, Wondershare RepairIt uygulamasında bulunan iki ciddi güvenlik açığı, kullanıcıların özel verilerinin ifşa olmasına neden olabilecek potansiyele sahip olmasıyla dikkatleri çekmektedir. Trend Micro tarafından keşfedilen bu açıklardan biri, kullanıcıların kimlik doğrulama korumasını atlatmalarına ve sistem üzerinde kod çalıştırmalarına olanak tanımaktadır. Bu tür güvenlik açıkları, sadece kullanıcı verilerinin tehlikeye girmesiyle kalmayıp, aynı zamanda yapay zeka (YZ) modeli manipülasyonu ve tedarik zinciri saldırılarına da zemin hazırlamaktadır.
Kritik Açık Detayları
Keşfedilen güvenlik açıkları şunlardır:
- CVE-2025-10643 (CVSS puanı: 9.1) – Depolama hesabı token’ine verilen izinler içindeki kimlik doğrulama atlatma açığı.
- CVE-2025-10644 (CVSS puanı: 9.4) – SAS token’ine verilen izinler içindeki kimlik doğrulama atlatma açığı.
Bu iki açığın başarıyla kötüye kullanılması, saldırganların sistem üzerindeki kimlik doğrulama korumasını atlatabilmelerine ve kullanıcı uç noktalarında rastgele kod çalıştırabilmelerine imkan tanır.
Gizlilik Politikalarıyla Çelişen Uygulama Geliştirme Pratikleri
Trend Micro araştırmacıları, Wondershare’nin yapay zeka destekli veri onarım ve fotoğraf düzenleme uygulamasının, zayıf Geliştirme, Güvenlik ve Operasyonlar (DevSecOps) uygulamaları nedeniyle gizlilik politikasıyla çeliştiğini ifade ediyor. Araştırmacılar, uygulamanın koduna doğrudan yerleştirilmiş, aşırı izinlere sahip bulut erişim token’leri sayesinde hassas bulut depolama alanlarına okuma ve yazma erişimi sağlandığını belirtiyor.
Dahası, kullanıcı verileri şifrelenmeden saklandığı için, kullanıcıların yükledikleri fotoğraf ve videoların daha da kötüye kullanılmasına olanak tanımakta. Bununla birlikte, açığa çıkan bulut depolama alanı yalnızca kullanıcı verileriyle sınırlı değil; Wondershare tarafından geliştirilen çeşitli ürünlere ait yazılım ikilileri, AI modelleri, konteyner görüntüleri ve şirket kaynak kodu gibi kritik bilgileri de içermektedir. Bu durum, saldırganların bu AI modelleri üzerinde değişiklik yapmasına veya uygulamaların yürütülebilir dosyalarını manipüle etmesine olanak sağlar.
Veri İhlali ve AI Model Manipülasyonu
Araştırmacılar, kötü niyetli bir saldırganın, bu açıklar sayesinde kullanıcıların cihazlarına bulaşacak kötü amaçlı yazılımlar dağıtabilmesinin olasılığını vurguladı. “Binary, güvensiz bulut depolama alanından otomatik olarak AI modellerini alıp çalıştırdığı için, saldırganlar bu modelleri veya yapılandırmalarını değiştirebilir ve kullanıcıları habersiz bir şekilde enfekte edebilir,” dedi Trend Micro araştırmacıları.
Kullanıcı verilerinin ifşa edilmesi ve AI modeli manipülasyonu, fikri mülkiyet hırsızlığı, düzenleyici cezalar ve tüketici güveninin erozyonu gibi ciddi sonuçlar doğurabilir. Trend Micro, bu iki sorunu Zero Day Initiative (ZDI) aracılığıyla Nisan 2025’te sorumlu bir şekilde duyurmasına rağmen, satıcıdan henüz bir yanıt alamadığını bildirdi. Sorunların çözülmemesi durumunda, kullanıcılara üründen etkileşimlerini kısıtlamaları önerildi.
Yapay Zeka ve Güvenlik İlişkisi
Trend Micro, geçmişte Model Context Protocol (MCP) sunucularını kimlik doğrulaması olmadan açmanın tehlikeleri konusunda da uyarılarda bulunmuştu. Bununla birlikte, hassas bilgilerin düz metin olarak saklanması, tehdit aktörlerinin bulut kaynaklarına erişim sağlaması veya kötü amaçlı kod enjekte etmesi açısından risk oluşturmaktadır. Her MCP sunucusu, veritabanları, bulut hizmetleri ve dahili API’ler gibi verilerine bir açık kapı niteliği taşımaktadır.
Güvenlik araştırmacıları, Ekim 2024’te açığa çıkan konteyner kayıtlarının yetkisiz erişim sağlamak için kötüye kullanılabileceğini, bu durumun hedef Docker görüntülerini çekmeyi ve bunlardaki AI modellerini çıkarmayı mümkün kıldığını belirtti. “Değiştirilen model, belirli koşullar altında normal davranabilirken, yalnızca bazı girdilerle tetiklendiğinde kötü niyetli değişikliklerini sergileyebilir,” diyerek bu tür saldırıların tehlikesine dikkat çektiler.
Ayrıca, Palo Alto Networks Unit 42 tarafından yayımlanan bir raporda, AI kod asistanlarında kullanılan bağlam ekleme özelliğinin dolaylı prompt injection saldırılarına karşı savunmasız olduğu ifade edildi. Bu tür saldırılar, saldırganların kötü niyetli komutları dış veriler arasında gizlemeleri yoluyla gerçekleştirilir ve kullanıcının devreye girmesine olanak tanır.
Gelecek İçin Alınacak Önlemler
Son olarak, kuruluşların güvenlik süreçlerini güçlendirmeleri ve sürekli yeniliklerin hızla gerçekleştiği bu dönemde yeni saldırı vektörlerine karşı proaktif önlemler alması kritik önemdedir. Güvenlik zafiyetleri, işletmelerin rekabetçi kalma çabalarının bir yan ürünü olarak değerlendirilecekse, bu durumun bireylerin özel verilerinin güvenliği üzerinde büyük bir tehlike oluşturduğunu unutmamak gerekmektedir. Bu bağlamda, güvenlik süreçlerinin her aşamada entegre edilmesi önem arz etmektedir.
