Kayıp Mod kusurundan yararlanılan Apple AirTag için dikkat

Apple AirTag

Apple AirTag izleme cihazınızı veya bağlı olduğu öğeyi yanlış yere koyacak kadar şanssızsanız, asla korkmayın. Apple AirTag, bulan herkesin bunu akıllı telefonuyla taramasına ve aygıtınızın size iade edilebilmesi için sahibinin telefon numarasını listeleyen bilgilere götürülmesine olanak tanıyan bir özelliğe sahiptir.

Çok güzel bir özelliği varken hoş olmayan şey, özelliğin kötü amaçlı yazılım göndermek veya bir AirTag’in gerçek sahibini bulmaya çalışan farkında olmayan İyi Samaritan’dan kimlik bilgilerini çalmak için kötüye kullanılabilmesidir.

Güvenlik araştırmacısı ve sızma test uzmanı Bobby Rauch, Apple’dan yeterli yanıt alamayınca güvenlik açığının ayrıntılarını paylaştı.

Rauch’un açıkladığı gibi, Apple şimdiye kadar AirTags’in “Kayıp Modu” işlevinde, bir saldırganın konum izleme cihazı yakın alan iletişimi (NFC) aracılığıyla tarandığında görüntülenen bilgileri silah olarak kullanmasına olanak tanıyan bir güvenlik açığını görmezden geldi.

Kayıp bir AirTag bulan ve akıllı telefonuyla tarayan biri, kendisini https://found.apple.com adresinde , cihazın sahibiyle nasıl iletişim kuracağına dair özel talimatlar içeren bir web sayfasına götürüldüğünü bulur .

Ancak Apple, AirTag’in sahibi tarafından telefon numarası alanına kötü amaçlı bir komut dosyası yerleştirilmesini engellemedi. Telefon numarası alanına yerleştirilen siteler arası komut dosyası kodu, ziyaretçileri sahte bir iCloud giriş sayfasına yönlendirebilir veya kullanıcıları kötü amaçlı bir uygulama indirmeleri için kandırabilir.

Rauch’un açıklaması şu şekilde:”Diğer XSS açıkları, oturum belirteci kaçırma, tıklama ve daha fazlası gibi gerçekleştirilebilir. Bir saldırgan, silahlı AirTag’ler oluşturabilir ve onları etrafta bırakarak, bir kişinin kaybolan AirTag’lerini bulmasına yardım etmeye çalışan masum insanları kurban edebilir.”

Kısacası, güvenlik açığı, bir bilgisayar korsanı tarafından, kötü amaçlı yazılım bulaşmış USB çubuklarını girmek istedikleri bir şirketin otoparkında ortalıkta bırakmaya eşdeğer bir saldırı gerçekleştirmek için istismar edilebilir.

Er ya da geç, birisi AirTag’i bulacak ve gerçek sahibini bulmak için taramaya çalışacak ve sonuç olarak kimlik bilgilerinin çalınmasına veya kötü amaçlı yazılımların yerleştirilmesine neden olabilir.

Yazma sırasında Apple, Haziran ayında Rauch tarafından bu konuda bilgilendirilmesine rağmen kusuru düzeltmedi. Sorun çözülene kadar, kötü niyetli bir bilgisayar korsanının sizi iCloud parolalarınızı teslim etmeniz veya kötü amaçlı yazılım yüklemeniz için kandırmaya çalışması durumunda, kaybolan AirTag’leri tararken dikkatli olun.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »