Almanya’daki Darmstadt Üniversitesi’nin Güvenli Mobil Ağ Laboratuvarı’ndan araştırmacılar yayınladıkları makalede bir iPhone’u kapalıyken bile hacklemeye yarayan teorik bir yöntem ortaya koydu. Kablosuz modüllerin çalışma şeklinin incelendiği çalışmada Bluetooth üretici yazılımını analiz etmenin, bunun sonucunda da cihazın işletim sistemi olan iOS’tan tamamen bağımsız şekilde yürütülebilen kötü amaçlı yazılımları cihaza sokmanın yolları bulundu.
Biraz hayal gücüyle şöyle bir senaryoyu düşünmek mümkün: Bir saldırgan, virüslü bir telefonu kurbanın cihazına yakın tutarak ödeme kartı bilgilerini, hatta sanal bir araba anahtarını çalmak üzere kötü amaçlı bir yazılım gönderebilir.
Bu senaryoya hayal gücüyle ulaşmamızın sebebi, makalenin yazarlarının akıllı telefona gerçekten kötü işlere yarayan bir şeyler yükleyerek gerçekleştirilen pratik bir saldırı uygulaması göstermemiş olması. Yine de araştırmacılar telefonun belgelenmemiş bu fonksiyonunu analiz etmek, Bluetooth üretici yazılımının tersine mühendisliğini yapmak ve kablosuz modülleri kullanmaya yönelik çeşitli senaryolar modellemek için çok çalışmış.
Peki, saldırı gerçekleşmediyse bu yazı neyle ilgili? Merak etmeyin, açıklayacağız, ancak öncelikle önemli bir noktanın üstünde durmamız lazım: Bir cihaz kapatıldıysa, fakat hala cihazla herhangi bir tür etkileşime girilebiliyorsa (örneğin, hacklenebiliyorsa) o cihaz aslında tamamen kapanmamış demektir.
Peki ne zamandan beri bir cihazı kapatmamız, o cihazın illa kapandığı anlamına gelmiyor? En baştan başlayalım.
Apple’ın Düşük Güç Modu
2021’de Apple, kayıp cihazları bulmak için kullanılan Find My servisinin artık cihaz kapalı olsa bile çalışacağını duyurdu. Bu iyileştirme, iPhone 11’den itibaren tüm Apple akıllı telefonlar için mevcut.
Diyelim ki telefonunuzu bir yerlerde kaybettiniz ve bir süre sonra şarjı bitti, bu durumda cihaz tamamen kapanmak yerine çok kısıtlı bir modül setinin çalıştığı Düşük Güç Modu’na geçiyor. Bu modüller Bluetooth ve Ultra WideBand (UWB) kablosuz modülleri ve NFC. Bir de Secure Element var. Secure Element, temassız ödemeler için kredi kartı bilgileriniz veya araba anahtarlarınız gibi en değerli sırlarınızı saklayan güvenli bir çip (son özellik 2020’den beri sınırlı sayıda araç için mevcut).
Düşük Güç Modu’nda Bluetooth veri transferi, UWB ise akıllı telefonun konumunu belirlemek için kullanılıyor. Akıllı telefon Düşük Güç Modu’nda kendisiyle ilgili bilgileri gönderiyor, etraftaki diğer kişilerin iPhone’ları da bu bilgileri alabiliyor. Kayıp telefonun sahibi Apple hesabına girip telefonu kayıp olarak işaretlerse etraftaki akıllı telefonlardan gelen bilgiler, cihazın nerede olduğunu belirlemek için kullanılıyor. Bunun nasıl çalıştığıyla ilgili ayrıntılar için AirTag ısrarlı takibiyle ilgili son yazımıza göz atabilirsiniz.
Duyuru, bilgi güvenliği uzmanları arasında potansiyel güvenlik riskleri hakkında ateşli bir tartışma başlattı. Almanya’daki araştırma ekibi, olası saldırı senaryolarını pratik olarak test etmeye karar verdi.
Cihaz kapatıldıktan sonra Find My
Araştırmacılar ilk olarak Düşük Güç Modu’nda Find My servisinin detaylı bir analizini gerçekleştirerek daha önceden bilinmeyen bazı özellikler keşfetti. Cihaz kapatıldıktan sonra işin büyük kısmı, bir dizi iOS komutuyla yeniden yüklenen ve biçimlendirilen Bluetooth modülü tarafından yürütülüyor. Bu modül, düzenli aralıklarla havadan veri paketleri göndererek aslında kapalı olmayan iPhone’un diğer cihazlar tarafından tespit edilmesini sağlıyor.
Bu modun süresinin de kısıtlı olduğu ortaya çıktı: iOS 15.3 sürümünde 15 dakika aralıkla yalnızca 93 yayın oturumu yapılıyor. Yani, kayıp ve kapalı bir iPhone sadece 24 saat bulunabilir halde kalıyor. Telefon şarjın bitmesi sebebiyle kapandıysa bu pencere daha da daralarak yaklaşık beş saate düşüyor. Bu durum, bu özelliğin kendine özgü bir tuhaflığı olarak görülebilir, fakat bunun yanında gerçek bir hata da bulundu: Bazen telefon kapandığında bu mod hiç devreye girmiyor.
Buradaki en ilginç nokta, Bluetooth modülünün kapanmadan önce yeniden programlanması; yani işlevselleği tamamen değiştiriliyor. Peki ya aynı modül, cihaz sahibinin aleyhine yeniden programlanırsa?
Kapalı bir telefona saldırı
Aslında ekibin en büyük keşfi, Bluetooth modülü üretici yazılımının şifrelenmiş olmaması ve Secure Boot teknolojisiyle korunmuyor olması. Secure Boot’ta açılıştı program kodunun çok aşamalı doğrulaması yer alıyor, böylelikle yalnızca cihazın üreticisi tarafından yetkilendirilen üretici yazılımları çalıştırılabiliyor.
Şifreleme olmaması, üretici yazılımının analiz edilebilmesine ve güvenlik açığı aranabilmesine olanak sağlıyor. Bu güvenlik açıkları da sonrasında saldırılarda kullanılabiliyor. Fakat secure Boot’un olmaması, saldırganın daha da ileri gidip üretici kodunu tamamen kendi koduyla değiştirebilmesine imkan veriyor. Bluetooth modülü de ardından bu kodu yürütüyor. Kıyaslamak gerekirse, iPhone’un UWB modülü üretici yazılımının analizinde bu modülün Secure Boot tarafından korunduğu, ancak yine şifrelenmemiş olduğu ortaya çıktı.
Elbette bu pratikte ciddi bir saldırı için yeterli değil. Bunun için saldırganın üretici yazılımını analiz etmesi, kendi yaptığı bir şeyle değiştirmeye çalışması ve giriş yapabileceği yollar araması gerekiyor. Makalenin yazarları, saldırının teorik modelini ayrıntılı olarak anlatsalar da iPhone’un Bluetooth, NFC ya da UWB üzerinden hacklenebilir olduğunu pratikte göstermiyorlar. Bulgularında açık olan şey şu: Bu modüller daima açıksa güvenlik açıkları da daima çalışacaktır.
Aplle çalışmayı etkileyici bulmadı ve yanıt vermeyi reddetti. Bu da tek başına pek bir anlam ifade etmiyor: Şirket ciddi olduğu gösterilen tehditler karşısında bile ifadesiz kalmaya özen gösteriyor.
Apple’ın sırlarının açığa çıkmaması için ne kadar çok uğraştığını unutmayın: Araştırmacılar, Apple’ın kendi donanımlarında sipariş üzerine özel yapılmış üçüncü taraf modüller üzerinde çoğunlukla şifrelenmiş olan kapalı yazılım kodlarıyla çalışmak zorunda. Akıllı telefonlar, çözmesi zor olan büyük ve karmaşık sistemler, hele ki üreticisi size yardımcı olmak yerine sizi engellemeye çalışıyorsa.
Kimse ekibin bulgularını nefes kesici olarak tanımlamasa da bunlar çok uzun ve zahmetli bir çalışmanın sonuçları. Makale, telefon kapatıldığı halde bazı modüllerin kapanmamasının güvenlik politikasını sorguladığı için değerli. Şüphelerin yerinde olduğunu gösteriyor.
Yarı kapalı bir cihaz
Makale, Bluetooth üretici yazılımının yeterli korumaya sahip olmadığı sonucuna varıyor. iOS’ta modifiye etmek ya da aynı Düşük Güç Modu’nu genişleterek veya işlevini değiştirerek yeniden programlamak teorik olarak mümkün. UWB üretici yazılımı da güvenlik açıkları açısından incelenebilir. Öte yandan esas problem, bu kablosuz modüllerin (ve NFC’nin) korumalı bir bölge olan Secure Element ile doğrudan iletişim kurması. Bu da bizi makalenin en heyecan verici sonuçlarına getiriyor:
- Teorik olarak, cihaz kapalı olsa bile bir iPhone’dan sanal bir araba anahtarını çalmak mümkün! Elbette iPhone araba anahtarıysa, iPhone’u kaybetmek arabayı kaybetmek anlamına gelecektir. Ancak bu durumda telefonun kendisi sizde kalsa bile anahtar çalınabiliyor. Şöyle düşünün: Saldırgan bir alışveriş merkezinde size yaklaşıyor ve telefonunu çantanıza yaklaştırarak sanal anahtarınızı çalıyor.
- Bluetooth modülü tarafından gönderilen verileri, örneğin akıllı telefonu bir kurbanı gözetlemek için kullanmak üzere modifiye etmek teorik olarak mümkün. Evet, üstelik telefon kapalı bile olsa.
- Telefonunuzdan ödeme kartı bilgilerinizin çalınması da teorik olarak mümkün.
Fakat tüm bunların hala kanıtlanması gerekiyor. Almanya’daki ekibin çalışması, yeni işlevler eklemenin beraberinde hesaba katılması gereken bazı güvenlik riskleri getirdiğini bir kez daha gösteriyor. Özellikle de gerçekler, algıladığınızdan çok daha farklıysa: Telefonunuzun kapalı olduğunu sanıyorsunuz, oysa aslında değil.
Bunun tamamen yeni bir sorun olmadığını da hatırlatalım. Sistem koruma ve uzaktan yönetim güvenliğinden sorumlu Intel Management Engine ve AMD Secure Technology de dizüstü veya masaüstü bir bilgisayarın anakartı bir güç kaynağına bağlı olduğu sürece aktif. iPhone’lardaki Bluetooth/UWB/NFC/Secure Element setinde olduğu gibi bu sistemler de bilgisayarlarda geniş haklara sahip ve barındırdıkları güvenlik açıkları çok tehlikeli olabilir.
İyi tarafından bakarsak makalenin sıradan kullanıcılar üzerinde doğrudan bir etkisi yok: Çalışmada elde edilen veriler, pratik bir saldırı için yetersiz. Yazarlar kesin bir çözüm olarak Apple’ın telefonu tamamen kapatan bir donanım düğmesi kullanmasını öneriyor. Ancak Apple’ın fiziksel düğme fobisini düşünürsek bunun gerçekleşmeyeceğinden emin olabilirsiniz.