Kritik USB bileşeninin hack'lenmesi, Apple cihazlarını tehdit ediyor

Almanya'nın Hamburg kentinde kısa bir süre önce gerçekleşen 38. Chaos Communication Congress'te gösterildiği üzere, iPhone’lar, Mac’ler ve diğer Apple cihazları için şarj ve veri aktarımında kullanılan özel bir Apple teknolojisi olan ACE3 USB-C denetleyicisi, kötü niyetli kişilerin yetkisiz faaliyetler yürütmesine izin vermesi için hack'lenebiliyor. Neyse ki, bu güvenlik açığını kullanarak gerçek bir hasar vermek pek kolay gözükmüyor.

Beyaz şapkalı hacker Thomas Roth, kongre sırasında bu kritik bileşenin nasıl hack'lenebildiğini gösterdi ve ACE3 denetleyicisini tersine mühendislikle ele geçirerek dahili aygıt yazılımını ve iletişim protokollerini açığa çıkardı. Daha sonra denetleyiciyi yeniden programladı ve ona güvenlik kontrollerini atlatma, kötü amaçlı komutlar enjekte etme ve diğer yetkisiz eylemleri çalıştırma yeteneği kazandırdı.

Roth, bu güvenlik açığının, kontrol cihazının aygıt yazılımındaki yetersiz güvenlik önlemlerinden kaynaklandığını, bunun da tehdit aktörlerinin düşük seviyeli erişim elde etmesine, ardından güvenilir aksesuarları taklit etmesine ve daha fazlasına imkan tanıdığını söyledi. Apple’ı sorundan haberdar ettiğini söyleyen hacker, şirketin hatanın istismar edilemeyecek kadar karmaşık olduğunu bildirdiğini belirtti.

Bu değerlendirmeye katılıyor gibi görünen Roth, Forbes ile yaptığı röportajda Apple’ın “saldırı karmaşıklığını gördüğünü ve bunu bir tehdit olarak görmediğini” söylediğini belirterek “bu görüşe katılıyorum ancak en azından bildirilmesini istedim” dedi.

Yine de bu durum, güvenlik sektörünün Roth'un bulgularını tamamen görmezden gelmesi veya unutması gerektiği anlamına gelmiyor. ACE3’ün dahili sistemlerle entegrasyonu, bu bulgunun tehlikeye atılması durumunda daha fazla saldırıya yol açabileceği için Apple cihaz güvenliği açısından büyük sonuçlar doğurabilir. Android ekosistemi ise saldırının doğası gereği zaten bu kusurdan etkilenmiyor.