Güvenlik araştırmacıları, 2021 ve sonrasında üretilen Apple marka çipleri içeren cihazlarda, hassas bilgilerin sızdırılmasına yol açabilecek iki yan kanal güvenlik açığı keşfetti. TechRepublic’te yayınlanan makalede SLAP ve FLOP olarak adlandırılan bu açıkların, kredi kartı bilgileri, konum verileri ve diğer kişisel bilgilerin saldırganlar tarafından ele geçirilmesine neden olabileceği iddiaları yer aldı. Söz konusu veriler, Safari ve Chrome gibi tarayıcılar aracılığıyla iCloud Takvim, Google Haritalar ve Proton Mail gibi hizmetlerden toplanabiliyor.
Apple, bu güvenlik açıklarının haberdar olduğunu belirterek, “Analizimize dayanarak, bu sorunun kullanıcılarımız için acil bir risk oluşturduğuna inanmıyoruz” açıklamasını yaptı. Araştırmacılar, şu ana kadar bu açıkların kötü niyetli kişiler tarafından kullanıldığına dair bir kanıt bulamadılar.
Etkilenen cihazlar arasında 2022 ve sonrasında üretilen tüm Mac dizüstü bilgisayarlar (MacBook Air, MacBook Pro), 2023 ve sonrasında üretilen tüm Mac masaüstü bilgisayarlar (Mac Mini, iMac, Mac Studio, Mac Pro), Eylül 2021’den itibaren piyasaya sürülen tüm iPad Pro, Air ve Mini modelleri (Pro 6. ve 7. nesil, Air 6. nesil, Mini 6. nesil) ve Eylül 2021’den itibaren piyasaya sürülen tüm iPhone modelleri (iPhone 13, 14, 15 ve 16 serileri, SE 3. nesil) bulunuyor.
SLAP ve FLOP Güvenlik Açığı Neye Dayanıyor?
SLAP ve FLOP açıkları, spekülatif yürütme adı verilen bir saldırı tekniğine dayanıyor. Bu teknik, güç tüketimi, zamanlama ve sesler gibi dolaylı ipuçlarını kullanarak normalde gizli kalması gereken bilgileri elde etmeyi amaçlar. Modern Apple çiplerinin, CPU kullanımını optimize etmek için tahmin mekanizmaları kullandığını ve bunun da spekülatif yürütme saldırılarına zemin hazırladığına dikkat çekiliyor.
SLAP, saldırganların M2/A15 çiplerine sahip cihazlarda Safari tarayıcısına yönelik saldırılar başlatmasına olanak tanıdığı ve bu sayede e-postalara ve kullanıcının gezinme geçmişine erişebildiği belirtiliyor. FLOP ise M3/A17 çiplerine sahip cihazlarda Safari ve Chrome tarayıcılarına sızarak cihazın konum geçmişini, takvim etkinliklerini ve kayıtlı kredi kartı bilgilerini okuyabilir.
Kullanıcılar, cihazlarını güncel tutarak ve Apple’ın gelecekte yayınlayacağı güvenlik yamalarını uygulayarak bu tür güvenlik açığı risklerine karşı korunabilirler. Ayrıca, güvenilmeyen kaynaklardan gelen bağlantılara tıklamaktan kaçınmak ve tarayıcı güvenlik ayarlarını gözden geçirmek de ek bir koruma sağlayabilir.
TechRepublic makalesini okumak için: https://www.techrepublic.com/article/…
Comments