Geçtiğimiz hafta Apple beklenmedik bir şekilde iOS 9.3.5’i yayınlandı ve güvenlik güncellemeleri içeren bu sürümün diğer tüm güncellemeler gibi tüm kullanıcılar tarafından yüklenmesinin tavsiye edildiğini paylaştı.
Ancak bu sefer Apple iOS işletim sisteminde çok önemli bir açığı, hem de birilerinin (!) aktif olarak kullandığı kritik bir açığı kapatmış oldu.
Bir çoğumuzu, ailelerimizi ve arkadaşlarımızı pek de etkilemeyecek olan bu açık, bazıları için çok kritik olabilir. Bu sebeple hem bilgilenmemiz, hem de cihazlarımızı mutlaka güncel tutmamız çok önemli…
Ne oldu? Bu güncelleme neden önemli?
iOS 9.3.5, iOS 10 geliştirici betası 7 ve açık beta 6’da kapatılan çok önemli bir açık söz konusu. Bu açık, NSO Group tarafından bazı devletlere satılarak, Pegasus adlı bir yazılım sayesinde, iOS cihazlarının ele geçirilmesini sağlıyor.
Yani özetle birileri iPhone’a sızarak kamerayı kontrol edebiliyor, mikrofonu açarak dinleyebiliyor, veya cihaz içerisinde yazılan mesajlar, notlar, e-postalar gibi bilgilere erişebiliyor, aramaların kaydını tutabiliyor!
Bu dehşet verici sonuç elbette durduk yerde olmuyor. Cihazın ele geçirilebilmesi için cihaz sahibinin özel olarak yaratılmış bir bağlantıya tıklaması gerekiyor.
Olayın ortaya çıkışı ise Birleşik Arap Emirlikleri’nde bir insan hakları avukatı olan Ahmed Mansoor’un telefonuna gelen şüpheli bir mesajı güvenlik firmasıyla paylaşması sonucunda ortaya çıkıyor.
Eğer Ahmed Mansoor bu bağlantıya tıklasaydı, cihazı -uzaktan- jailbreak yapılacak, ve hiç belli etmeden cihazı tamamen kontrol edilebilecek, tüm konuşma ve yazışmaları takip edilebilecekti.
Mansoor’un uyarısı üzerine güvenlik firması olayı inceliyor ve Apple’a derhal bilgi veriyor. Apple da hızlı bir şekilde bu açıkları kapatarak iOS 9.3.5 güncellemesini yayınlıyor.
Yani bir iPhone’u “uzaktan” Jailbreak mi yaptılar?
Evet. Paylaşılan bilgilere göre 3 önemli açık sebebiyle cihaza uzaktan jailbreak yapılabiliyor ve ele geçirilebiliyor.
Daha önce buna benzer bir açık ve böyle bir açığın kullandığı görülmemiş, daha doğrusu tespit edilmemişti.
Ancak elbette bu açıktan faydalanılabilmesi için kullanıcının mutlaka gönderilen mesajdaki bir bağlantıya tıklaması gerekiyor.
Endişelenmeli miyim? iPhone artık güvenli değil mi?
Piyasada bu gibi açıkların milyon dolarlar ödeyebilecek firmalar veya devletler tarafından kullanılabileceği söyleniyor. Ve iş bu seviyede olunca da elbette kritik konumdaki iş adamları, devlet yetkilileri, gazeteciler ilk akla gelen potansiyel “hedefler” olabilir.
Yani bizler gibi normal kullanıcıların pek de endişe etmesi gerekmiyor. 🙂
Yine de iş en başta bize düşüyor ve kimden geldiğinden emin olmadığımız mesajlar, e-postalar vb. içerisindeki bağlantılara tıklamadan önce iyi düşünmemiz gerekiyor. Tıpkı nereden geldğini bilmediğimiz uygulamaları Mac’imize yüklemememiz gerektiği gibi.
Elbette bu açığı tek bir firmanın bulduğunu veya kullandığını söylemek mümkün değil. Bu sebeple bir güvenlik güncellemesi geldiğinde bunu es geçmemek gerekiyor.
Bu açığı kimler kullanıyor?
Yukarıda da bahsettiğimiz gibi bu açığı NSO Group adlı, İsrail merkezli bir firmanın Meksika ve Panama’daki bazı özel “müşterilere” sattığı söyleniyor. Ancak bunun dışında şu anda piyasa değerinin 1 milyar doları aştığı düşünülen şirket hakkında başka pek bir bilgi yok.
BBC’ye göre “NSO Grubu’nun çoğunluk hissesine sahip San Francisco merkezli Francisco Partners Limited şirketine bu konuda baskı yapılarak bilgi isteniyor, ama şirket son gelişmeyle ilgili henüz bir açıklama yapmadı.
NSO Grubu imzalı bir açıklamada ise ürünlerinin “terör ve suç ile mücadele” amaçlı olduğunu, tekil olaylar hakkında bilgisi olmadığını bildirdi ve özel olarak bu şikayetle ilgili bir şey söylemedi.”
Hangi sıklıkla iPhone’umu güncellemeliyim?
Her yeni güncelleme geldiğinde iOS cihazlarımızı güncellemeliyiz. Elbette direkt olarak o gece güncellememize gerek yok. Ancak geciktirmemekte fayda var.
Apple iOS 9.3.5’i çıkartmışken cihazımız hala iOS 9.1 sürümündeyse veya hala iOS 8 kullanıyorsak vay halimize…!
Tüm güncellemeleri her zaman olduğu gibi Sihirli Elma’da detaylı olarak paylaşmamızın da temel amacı da bu. Bu sebeple her zaman için iOS cihazlarımızın en güncel sürüme sahip olması, bizler için de en güvenli ve doğru kullanım.
Güncellemeyi yükleyebiliyor muyum?
Apple’ın iOS 9.3.5 güncellemesi 2011 yılındaki yani 5 sene önceki cihazları da kapsıyor. Yani iPhone 4s ve iPad 2 ve üzeri bir cihaza sahipsek bu güncellemeyi yükleyebiliyoruz.
Güncellemeyi yüklemek için her zaman olduğu gibi Ayarlar > Genel > Yazılım Güncelleme içerisine göz atabilirsiniz.
Apple bunun gibi saldırıları engellemek için çalışıyor mu? Ne yapıyor?
Apple da her cihaz ve yazılım üreticisi gibi bu gibi açıkları kapatmak, ve benzeri olayları engellemek için çok sıkı önlemler alıyor.
1. Her güncellemede güvenliği biraz daha sıkılaştıran Apple, işletim sistemine erişimi imkansıza yaklaştırmaya, bir şekilde erişilse bile bir şey yapılamamasını sağlamaya çalışıyor. iOS 10 da bu alanda atılmış en önemli adımlardan biri olacak.
2. Dışarıdan yardım alarak, iOS’teki açıkları bulanlara ödül veren “Bug Bounty” programları hayata geçiriyor Apple. Örneğin iOS’i etkileyen önemli bir açık bulursanız Apple’ın size ödülü $200.000!
Bu konu ülkemizde pek bilinmese de geliştiriciler arasında bilinen bir konu. Google’ın Android ve Chrome için benzer programlarda $50.000 ve $100.000, Microsoft’un ise $125.000 değerinde ödülleri mevcut.
3. Apple, yeni açıklar ortaya çıktığında hızlı güvenlik güncellemeleri ile bu açıkların kullanılmasına engel oluyor. Örneğin iOS 9.3.5 güncellemesi, bu açık rapor edildikten itibaren yaklaşık 10 gün içerisinde kapatıldı.
Piyasada milyon dolarlara satılabilen bu açıkları yakalamak için belki de tüm firmaların çok daha büyük bedeller ödemeyi göze almaları daha iyi bir fikir olabilir belki… Önceki sene sonunda ortaya çıkan Android Stagefreight açığı sebebiyle 1 milyardan fazla Android cihaz bu açıkla karşı karşıya kalmış, ve cihaz üreticilerinin güncellemeyi geç yayınlamaları sebebiyle uzun bir süre bu açık bazı cihazlarda kapatılamamıştı.
Etkinlenmiş olabilirim. Ne yapmalıyım?
Eğer bu konuda soru işaretleriniz varsa mutlaka acil bir şekilde iOS 9.3.5’i yüklemelisiniz. Eğer içinizi daha da rahatlatacaksa iPhone’u iOS 9.3.5’e güncelledikten sonra sıfırlayarak yeniden yükleyebilirsiniz.
Başka sorularım var!
Bildiklerimi elimden geldiğince özet ve açık bir şekilde paylaşmaya çalıştım. Ancak buna ek olarak başka sorularınız veya yorumlarınız varsa paylaşabilirsiniz.
Lütfen tüm iOS cihazlarınızı en kısa zamanda iOS 9.3.5 ile güncelleyin, aile ve arkadaşlarınızı bu durumdan haberdar edin, bilgilendirin… Arkadaşlarınızı bilgilendirmek için bu yazıyı aşağıdan paylaşabilirsiniz.
iOs mi Android mi güvenli tartışmasına çok girmemek lazım. Bizi bir yere götüreceğine inanmıyorum. Sonuçta Android in çıkış tarzı zaten bir garip.(Bknz. Oracle-Google davası) ve kurulduğu temel tamamen ispiyonaj üzerine. (Bknz. her yazılımcının her bilgeye ulaşması vs.) Burada Jobs ve Cook’un tavrı belli. SIFIR tolerans. (Bknz. FBI davası) İlerde ne olur bilemem ama üst akla direnmek kolay değildir ve bazen 50 yıl sonra biri çıkar ve size eşkiya der. (Bu arada Scott Forstall’ın Apple’dan kovulmasının temelinde bu tarz bir dünya görüşü farklılığı olduğuna inanıyorum. Evet ilk burda duydunuz.)
Hemfikirim Sarp Bey, güvenlik konusunda Apple’ın tavrı belli, ancak yine de hiç bir sistem %100 güvenli diyemeyiz hiç bir zaman.
Umarım Apple bu konuya daha çok önem verir, ve bizim bu kadar kritik bilgilerimizi taşıyan cihazları çok daha güvenli hale getirir.
Güvenlik açığının yanı sıra benim size farklı bir sorum olacaktı Göktuğ bey. Son güncellemelerden sonra bazı iPhone modellerinin pil performansının çok düştüğünü iki yetkili Pupa Teknik Servis elemanından dinledim. Hem iPhone 5s hem de 6s Plus’da hemen hemen aynı pil performansını gördüm ki bu çok şaşırtıcı. Örneğin 6s Plus’da 7 saatlik bekleme ve 3 saatlik kullanım sonucu pil yüzdesi 30’lara indi (ve bu gayet normal bir kullanımdı, oyun,video, kamera vs.yok). Bu inanılmayacak bir durum.Zira daha önce kullandığım 6 Plus’da yoğun kullanımda bile %30’lar ancak akşam görülürdü.
Şimdi telefonu sıfırladım. Bilgisayardan değil icloud üzerinden verileri yükledim. Sanki biraz düzelme var. Siz ne dersiniz, sürekli güncellemeleri üst üste yüklemek pil performansını olumsuz etkiler mi?
Biraz ilginç bir yaklaşım olmuş diye düşünüyorum, teknik servislerin güncellemeleri işaret etmelerini… Arka arkaya güncellemelerin bir sorun yaratacağını düşünmüyorum, aksi halde Apple “arada bir sıfırdan yükleyin” derdi mutlaka.
Pil kullanımı konusunda ise o anda belki de arkaplanda iCloud yedeği, fotoğraf yüklemesi, veya çalışan bir uygulama buna sebep olmuş olabilir.
Benim önerim hızlıca Ayarlar > Pil içerisinden kullanımı etkileyen uygulamalara göz atmanız olacaktır. Böylece sebebi çok daha kolay bulabilirsiniz.
güncellemeyi cihazlarıma henüz yükledim malum iphone 16 gb olunca hafızayı boşaltmam gerekiyordu. fakat yüklemeden önce macbook umda ve evdeki iphone larda safaride sorun yaşamaya başladık. iphone lar siteleri hiç açmıyor google dan arama sonuçlarından birine tıkladığınızda maxonclick.com diye saçma sapan bir site açılıyor,bomboş bir sayfa geliyor ekrana. bazen 404 not found bazen de ‘flash player güncel olabilir’ (‘olabilir’ yazması gibi dil bilgisi sorunlarından vs. bunun normal flash player güncellemesi olmadığını anlıyorum) hemen altında da update yazan bir kutucuk beliriyor. sitelere cihazlarımızdan girememenin yanı sıra şimdi yukarıda yazanlar konusunda da oldukça endişeliyim. sizce yukarıda bahsettiğiniz gibi bir jailbreak söz konusu mudur? bu sorunu nasıl çözebilirim? bu arada güncellemenin yüklendiği başka bir iphone da da aynı sorunu yaşıyoruz. yardımcı olabilirseniz çok sevinirim.