Apple, Eylül 2024’te iOS 18 ile yeni Parolalar uygulamasını tanıttı. Ancak uygulamanın güvenliği, kullanıcıların bilgilerini tehlikeye atacak şekilde eksik kaldı. Parolalar uygulaması, bağlantıları açarken veya simgeleri getirirken HTTPS yerine daha az güvenli HTTP protokolünü kullanıyordu. Bu durum, kötü niyetli bir kişinin, örneğin bir kafenin ya da otelin Wi-Fi ağında, kullanıcıyı sahte bir web sitesine yönlendirebilmesine olanak sağlıyordu.
Güvenlik araştırma şirketi Mysk, bu açığı Eylül ayında fark ederek Apple’a bildirdi. Ancak, Apple bu güvenlik açığını sadece iOS 18.2 güncellemesiyle kapatmayı başardı. Kullanıcılar, bu açığın olduğu dönemde, giriş bilgilerini güvenli olmayan bir bağlantı üzerinden paylaşmış olabiliyordu. Normalde, parola değişiklikleri HTTPS üzerinden güvenli bir şekilde yapılıyor ve şifreler şifrelenerek gönderiliyordu. Ancak HTTP üzerinden gerçekleşen yönlendirme, saldırganların verileri çalmalarına imkan tanıyordu.
Apple, bu sorunu Aralık ayında iOS 18.2 ve iPadOS 18.2 güncellemeleriyle çözüme kavuşturdu. Ancak, güvenlik açığının fark edilmesi ve kapatılması arasında aylarca bir süre geçmişti. Apple, bu durumu güvenlik güncellemeleri sayfasında ancak sonradan açıkladı.
Kaynak: CUMHA – CUMHUR HABER AJANSI