“iTunes Wi-Fi Sync” Özelliği Saldırganların iPhone’unuzu, iPad’inizi Hijack Etmesine İzin Verebilir

Hızlı şarj veya seçilen dosyaları paylaşma için iPhone’unuzu bir arkadaşınızın dizüstü bilgisayarına takarken dikkatli olun.

Symantec araştırmacıları gelmiş yayınlanan onlar “adlı yeni bir saldırı, yaklaşık iPhone ve iPad kullanıcıları için bir güvenlik uyarısı TrustJacking uzaktan ısrarlı kontrol altına almak ve Apple cihazınızdan veri ayıklamak güvendiğiniz bir kişiden izin verebilir”.

Apple, iOS’ta kullanıcıların iPhone’larını kablosuz olarak bir bilgisayara senkronize etmelerine olanak veren bir iTunes Wi-Fi senkronizasyonu özelliği sunar. Bu özelliği etkinleştirmek için, kullanıcılar bir USB kablosu üzerinden güvenilir bir bilgisayara (iTunes ile) bir kerelik izin vermelidir.

Etkinleştirildiğinde, özellik, telefonunuzun fiziksel olarak o bilgisayara bağlı olmasa bile, bilgisayar sahibinin herhangi bir kimlik doğrulama gerektirmeden Wi-Fi ağı üzerinden iPhone’unuzu gizlice gizlemesine olanak tanır.

Symantec, “Metnin okunması, kullanıcının sadece cihaz fiziksel olarak bilgisayara bağlıyken alakalı olduğuna inanmaktadır, bu yüzden bağlantıyı kesmek onun özel verilerine erişimi engelleyeceğini varsayar,” dedi.

Kurbanın aygıtında dikkat çekici bir belirti olmadığı için, Symantec bu özelliğin “kurbanın iOS aygıtı ile bilgisayar arasında güven ilişkisi” ni kullanabileceğine inanıyor.

iphone-itunes-wifi-sync-hacking

Araştırmacılar, özellikle yanlış bir bilgisayara güvendiğinizde, TrustJacking saldırısının başarıyla gerçekleştirilebileceği senaryoları takip etmenizi önerir:

Telefonunuzu bir havaalanında ücretsiz bir şarj cihazına bağlama ve bağlı istasyona güvenmek için açılır izin mesajını yanlışlıkla onaylama. Aynı kablosuz ağda olmayan bir uzak saldırgan, cihaz sahibinin kendi “güvenilir” PC’sine veya Mac’e kötü amaçlı yazılım tarafından tehlikeye atılmışsa iPhone verisine de erişebilir.

Ayrıca, iTunes Wi-Fi senkronizasyon özelliği iPhone’unuzda kötü amaçlı yazılım uygulamalarını uzaktan yüklemek, yedeklemeyi indirmek ve tüm fotoğraflarınızı, SMS / iMessage sohbetlerinizin geçmişini ve uygulama verilerini çalmak için de kullanılabilir.

“Saldırgan, kötü amaçlı uygulamalar yüklemek için bu erişimi cihaza da kullanabilir ve mevcut uygulamaları tıpkı orijinal uygulamaya benzeyen değiştirilmiş bir sarılmış sürümle değiştirebilir, ancak uygulamayı kullanırken kullanıcı üzerinde casusluk yapabilir ve hatta özel olarak kaldırabilir Her zaman diğer aktivitelere göz atmak için API’ler “dedi.

TrustJacking saldırısı, güvenilen bilgisayarların her defasında uzaktaki ekran görüntülerini alarak, her eyleminizi gözlemleyerek ve kaydederek cihazınızın ekranını gerçek zamanlı olarak izlemesine olanak verebilir.

iphone-itunes-wifi-sync-hacking (1)

Apple, iOS 11’de başka bir güvenlik katmanı getirdi ve kullanıcıların iPhone’larını bir bilgisayar ile eşleştirirken, Symantec araştırmacıları tarafından bilgilendirildikten sonra iPhone’un parolalarını girmelerini istedi.

Bununla birlikte, Symantec, diskin birincil endişeyi, yani, belirli bir zaman aralığından sonra kullanıcının aygıtı ve güvenilir bilgisayar arasında dikkat çekici bir işaretin veya zorunlu yeniden kimlik doğrulamanın yokluğunu ele almadığından, boşluğun açık kaldığını söyler.

Symantec’in Roy Iarchy, “Apple’ın aldırdığı azaltmayı takdir ederken, onun Trustjacking’i bütünsel bir şekilde ele almadığını vurgulamak isteriz.” Dedi. “Kullanıcı, güvenliği ihlal edilen bilgisayara güvenmeyi seçtiğinde, istismarın geri kalanı yukarıda açıklandığı gibi çalışmaya devam ediyor.”

Kendinizi korumanın en iyi ve basit yolu, iOS cihazınız tarafından istenmeyen bilgisayarlara güvenilmemesini sağlamaktır. Bunun için, güvenilen bilgisayarlar listesini Ayarlar → Genel → Sıfırla → Konumu ve Gizlilik’i Sıfırla seçeneğine giderek kaldırabilirsiniz.

Ayrıca, en önemlisi, iOS cihazınızı şarj ederken bilgisayara güvenmesi istendiğinde erişimi her zaman reddeder. Cihazınız, verilerinizi göstermeden bilgisayarı kullanarak yine de ücret alıyordu.