iOS için "sıcak yama" tehlikesi!
Geliştiricilerin sıkça kullandığı güncelleme aracı, iOS kullanıcılarının güvenliğini riske atıyor!
iOS platformu için uygulama geliştirenlerin büyük bir kısmı uygulamalarındaki kodu uzaktan değiştirmelerine olanak tanıyan bir teknikten yararlanıyor. Geliştiriciler böylece uygulamalarının Apple'ın normal değerlendirme sürecinden geçmesini de engellemiş oluyor. Geliştiriciler için bir avantaj gibi duran bu yaklaşım aslında kullanıcılar için birçok suistimal ve güvenlik riskini de beraberinde getiriyor.
Söz konusu teknik; bir sistemi ya da uygulamayı yeniden başlatmaya gerek duymadan onu dinamik bir biçimde güncellemeye yarayan "sıcak yama" işleminin bir varyasyonu. Ve bu sayede bir iOS uygulaması, geliştiricinin yeni sürümü resmi iOS uygulama mağazasına sunmasından bağımsız olarak güncellenebiliyor. Geliştiriciler de böylece Apple'ın uzun değerlendirme sürecinden kurtulmuş oluyor.
Bu sıcak yama yönteminin yaygın bir uygulanışı açık kaynaklı bir proje olan JSPatch üzerinde temelleniyor. FireEye bünyesindeki güvenlik araştırmacıları ise JSPatch'in geliştiriciler için bir nimet olmasının yanında kötü ellerde olumsuz sonuçlar doğurabilecek amaçlar doğrultusunda kullanılabileceğine dikkat çekiyor.
Buna göre JSPatch'ın, Apple'ın üçüncü parti uygulamalarını tabi tuttuğu güvenlik kısıtlamalarına maruz kalmaması kullanıcıların başını ağrıtacak birçok soruna yol açabilir. Bu yöntemi kullanan bir uygulama hiçbir bildiride bulunmadan yalnızca Apple uygulamalarının kullanımına sunulan bazı iOS Uygulama Programlama Arayüzlerine erişebilir. Söz konusu yöntem ayrıca bu uygulamaların sistem ayarlarını değiştirme, cihaz üzerindeki hesap türlerini numaralandırma, bir fotoğraf albümündeki resimlerin meta verilerini toplama gibi olanaklara da sahip olmasını sağlıyor.