Apple, AirPods için bir firmware güncellemesi yayınladı. Bu güvenlik açığı, kötü niyetli bir kişinin kulaklıklara yetkisiz erişim sağlamasına olanak tanıyabilir. CVE-2024-27867 olarak izlenen kimlik doğrulama sorunu, AirPods (2. jenerasyon ve sonrası), AirPods Pro (tüm modeller), AirPods Max, Powerbeats Pro ve Beats Fit Pro gibi modelleri etkiliyor. Yani, fiziksel yakınlıkta bir saldırgan, bu zafiyeti kullanarak özel konuşmaları dinleyebilir. Ancak Apple bu sorunu geliştirilmiş durum yönetimiyle çözdü.
Bu sorunu keşfeden ve rapor eden Jonas Dreßler’e teşekkür edildi ve AirPods Firmware Güncellemesi 6A326, AirPods Firmware Güncellemesi 6F8 ve Beats Firmware Güncellemesi 6F8 ile yamalandı. Bu gelişme, iPhone üreticisinin, 21 kusuru kapatmak için visionOS’un (versiyon 1.2) güncellemelerini dağıtmasından iki hafta sonra gerçekleşti. Bu kusurlardan biri, web içeriğini işlerken bir hizmet reddi saldırısına (DoS) yol açabilecek mantık hata sorunudur. Bu sorun, geliştirilmiş dosya işleme ile giderildi.
Güvenlik araştırmacısı Ryan Pickren, rapor ettiği güvenlik açığını “dünyanın ilk mekansal hesaplama hack’ı” olarak tanımladı ve kullanıcı etkileşimsiz olarak “tüm uyarıları atlayarak odanızı herhangi bir sayıda animasyonlu 3D nesneyle doldurabilecek” şekilde silahlandırılabileceğini belirtti. Bu güvenlik açığı, ARKit Quick Look özelliğini kullanırken Apple’ın izin modelini uygulamamasından kaynaklanıyor ve kurbanın odasına 3D nesneler çıkarmayı başarıyor. Üstelik, bu animasyonlu nesneler Safari’den çıkıldıktan sonra bile devam ediyor çünkü ayrı bir uygulama tarafından yönetiliyor.
“Üstelik, bu ‘anchor’ etiketinin insan tarafından ‘tıklandı’ olması bile gerekmiyor,” dedi Pickren. “Yani programatik JavaScript tıklama (yani, document.querySelector(‘a’).click()) hiç sorun değil! Bu, hiçbir kullanıcı etkileşimi olmadan istenmeyen sayıda 3D, animasyonlu, ses çıkaran nesneyi başlatabileceğimiz anlamına geliyor.”
Eğer bu makale ilginizi çektiyse, Twitter ve LinkedIn’de bizi takip ederek paylaştığımız daha fazla özel içerikleri okuyabilirsiniz.
