ABD’de devam eden Black Hat 2013 güvenlik konferansında Georgia Teknoloji Enstitüsü’nden bir grup araştırmacı, Apple’ın uygulama mağazası güvenlik kriterlerinin kandırılabileceğini ortaya koydular. Araştırmacıların geliştirdikleri yazılım, bazı kötücül özelliklerini maskeliyor ve Apple’ın güvenlik taramaları kötücül kodları fark edemiyor. Araştırmacılar bu şekilde hazırladıkları bir uygulamayı Apple onayından da geçirmeyi başardıklarını söylüyorlar.
Georgia Teknoloji Enstitüsü’nün Bilgi Güvenliği Merkezi’nde çalışan (GTISC) araştırmacılar, Apple’ın uygulama mağazası iTunes ve AppStore için geliştirdiği güvenlik kriterlerini incelemişler. Bir uygulamanın aslında kendi kodlarını maskeleyecek bir özellik barındırdığı takdirde bu güvenlik tedbirlerini atlatabileceğini fark eden araştırmacılar buna yönelik bir yazılım geliştirmişler. Söz konusu tekniği Black Hat güvenlik konferansında sunan araştırmacılar, bu yöntem sayesinde SMS ve mail gönderimi yapabilen, tweet atabilen ve hatta yüklendiği iPhone’da yer alan diğer uygulamalara saldırabilen bir kötücül uygulama geliştirdiklerini söylüyorlar.
Söz konusu ekip ayrıca son dönemde gündeme gelen Apple şarj cihazı açığını da incelemiş. Bu açık sayesinde, şarj cihazı şeklinde tek bir anakarta sahip Raspberry Pi tarsında bir bilgisayar geliştirip iPhone telefonlara sızılabileceğini gösteren ekibin sunumu oldukça ilgi çekici. Her 2 güvenlik ihlalini de geliştirdikleri prototiplerle farklı örneklem gruplarında test ettiklerini açıklayan araştırmacılar, Apple ile de temasa geçtiklerini ve firmanın bazı güvenlik güncellemeleri üzerinde çalışıyor olmasının sevindirici bir gelişme olduğunu açıklıyorlar.
Kaynak : 