|
Kimliği belirsiz bir yazarın yayınladığı blog yazısında iPhone'ların güvenliği ile ilgili bir uyarı notu göze çarptı. Fakat kaynak belirtilmemesi ve iddianın ispatlanmamış olması bu yazının çok fazla dikkat çekmemesine neden oldu. Buna rağmen yazıyı dikkate alan birkaç güvenlik uzmanı konuyu araştırdı ve ilginç bir şekilde yazıda bahsedilen güvenlik açığının gerçekten de var olduğunu fark ettiler.
Söz konusu güvenlik açığı iPhone'un kurumsal kullanıcılar için düşünülmüş toplu ayar değiştirmeye olanak veren özelliğinde ortaya çıktı. Uzmanların yaptıkları açıklamalara göre saldırganların gönderdikleri ve kullanıcılara masum görünecek dosyanın kabul edilmesinin ardından tehlike başlıyor. Bu işlemin ardından artık saldırganlar hedefteki iPhone'un kendi istedikleri internet adreslerini ziyaret etmesini sağlayabildikleri gibi, telefonun ayarları üzerinde de diledikleri değişiklikleri gerçekleştirebiliyorlar.
Konuyu araştıran güvenlik uzmanları, iPhone'un XML tabanlı ayar dosyası üzerinde değişiklik yapabilmek için geçerli herhangi bir SSL sertifikasına sahip olmanın yeterli olduğunu tespit ettiler. Çünkü iPhone kendisine gelen bu tip ayar değişikliği talebinde sadece SSL sertifikasının geçerli olup olmadığını kontrol ediyor.
|