12 Aralık 2024 tarihinde, Apple’ın iOS ve macOS işletim sistemlerinde, kullanıcıların hassas bilgilerine yetkisiz erişim sağlanmasına neden olabilecek ve Transparency, Consent, and Control (TCC) çerçevesini devre dışı bırakabilecek bir güvenlik açığına ilişkin detaylar paylaşıldı.
Bu güvenlik açığı, CVE-2024-44131 olarak izleniyor ve CVSS skoru 5.3. Apple, söz konusu açığı iOS 18, iPadOS 18 ve macOS Sequoia 15 sürümlerinde symlink (sembolik bağlantı) doğrulamasını iyileştirerek gidermiş durumda.
Açığı keşfeden ve Apple’a bildiren Jamf Threat Labs, bu zafiyetin kötü niyetli bir uygulama tarafından sistemde hassas verilere kullanıcı farkında olmadan erişim sağlamak için kullanılabileceğini belirtti.
TCC (Transparency, Consent, and Control) Çerçevesi Nedir?
TCC, Apple cihazlarında kritik bir güvenlik mekanizmasıdır. Bu çerçeve, uygulamaların GPS konumu, kişi listesi ve fotoğraflar gibi hassas verilere erişmek için kullanıcılardan izin talep etmesini sağlar. Ancak bu güvenlik açığı, TCC çerçevesinin etkisiz hale getirilmesine olanak tanıyabilir.
Jamf Threat Labs açıklamasında şu ifadelere yer verdi:
“Bu TCC bypass yöntemi, kullanıcılara herhangi bir uyarı göstermeden dosyalara, klasörlere, Sağlık verilerine, mikrofon veya kameraya izinsiz erişim sağlanmasına olanak tanıyor. Bu durum, kullanıcıların iOS cihazlarının güvenliğine olan güvenini zedeliyor ve kişisel verileri riske atıyor.”
Açığın Detayları
Bu güvenlik açığı, kullanıcıların Dosyalar (Files) uygulamasında gerçekleştirdiği dosya kopyalama veya taşıma işlemlerini kötü niyetli bir uygulamanın ele geçirmesine olanak tanıyor.
Zafiyet, iCloud ve üçüncü taraf bulut dosya yöneticileriyle ilişkili dosya işlemlerini yöneten fileproviderd adlı yüksek ayrıcalıklara sahip bir işlemden yararlanılarak çalışıyor. Kullanıcı bir dosyayı taşırken veya kopyalarken, saldırgan sembolik bağlantılarla (symlink) Dosyalar uygulamasını kandırabiliyor ve dosyayı kendi kontrol ettiği bir yere yönlendirebiliyor.
Jamf’in açıklaması şöyle devam ediyor:
“Yeni symlink saldırı yöntemi, önce bir dosyayı kopyalayarak kötü niyetli bir işlem için sinyal sağlıyor. Ardından, kopyalama süreci başladıktan sonra bir symlink eklenerek symlink kontrolü etkisiz hale getiriliyor.”
Bu yöntemle saldırganlar, “/var/mobile/Library/Mobile Documents/” yolundaki çeşitli dosya ve klasörleri kopyalayabilir, taşıyabilir veya silebilir. Bu sayede iCloud yedekleme verilerine ve hem birinci taraf hem de üçüncü taraf uygulamalara ait verilere erişim sağlanabilir.
Açığın Ciddi Sonuçları
Bu açık, TCC çerçevesini tamamen devre dışı bırakarak kullanıcılara herhangi bir uyarı göstermiyor. Ancak saldırının etkileri, hedeflenen işlemin ayrıcalıklarına bağlı olarak değişebiliyor.
Jamf bu durumu şu şekilde özetliyor:
“Bu tür bir saldırı, rastgele atanmış UUID’lerle korunan klasörlerdeki veriler veya belirli API’ler aracılığıyla alınan verilere erişemez. Ancak, erişim kontrolündeki bu boşluk belirli veri türlerini riske atıyor.”
Apple’ın Güvenlik Güncellemeleri
Apple, bu güvenlik açığını gidermek için iOS, iPadOS ve macOS’un son sürümlerinde güncellemeler yayınladı. Şirket ayrıca diğer güvenlik sorunlarını da ele aldı:
- WebKit’teki dört güvenlik açığı, bellek bozulması ve işlem çökmesine neden oluyordu.
- CVE-2024-54529 koduyla izlenen bir mantık hatası, uygulamaların kernel ayrıcalıklarıyla rastgele kod çalıştırmasına olanak tanıyordu.
- Safari’deki bir hata (CVE-2024-44246), Özel Aktarma (Private Relay) etkinleştirildiğinde bir web sitesinin cihazın IP adresine erişmesine neden olabiliyordu.
Apple, Safari’deki bu sorunu daha iyi yönlendirme ile çözdüğünü belirtti.