Etiket arşivi: GÜVENLİK AÇIĞI

Dijital Güvenlik

Skandal: Facebook uygulamasını açtığınızda kameranız da açılıyor

Yorum yapın
Veri skandallarıyla gündemden düşmeyen Facebook, bu sefer ciddi bir yazılım hatası nedeniyle kullanıcılarını zor duruma düşürdü.
ABD’de bir kullanıcı, Facebook mobil uygulaması telefonunda açıkken, uygulamanın cihazın kamerasını da açtığını fark etti. Web tasarımı şirketi sahibi olan Joshua Maddux, yaptığı açıklamada önce kamerasının yanlışlıkla açıldığını sandığını fakat daha sonra bunun Facebook uygulamasıyla ilgili olduğunu söyledi.
Maddux, açığı nasıl keşfettiğini gösteren bir videoyu Twitter’da yayınladı
Kenna güvenlik şirketinde güvenlik mühendisi olarak çalışan Jerry Gamblin, CNN’e yaptığı açıklamada kameranın açık olmasından kaynaklanan bir veri mahremiyeti sorunu oluğ olmadığına değinerek verilerin Facebook’a gönderilmediğini söyledi.
Sadece Apple telefonlarda geçerli
Facebook’tan yapılan açıklamada, şirket yazılım açığını kabul ederek en kısa zamanda düzelteceğini duyurdu. ‘Bu açık nedeniyle herhangi bir video ve fotoğrafın Facebook’a yüklendiğine dair bir delil bulunmuyor. Bugün açık ile ilgili yamayı Apple’a göndereceğiz.” ifadeleri kullanıldı.
Kameranın otomatik olarak açılması sadece iOS işletim sistemine sahip olan Apple cihazlarda mümkün oluyor, açıktan Android cihazlar etkilenmiyor.
2016 yılında gerçekleşen ABD Başkanlık Seçimleri öncesindeki kampanya döneminde 87 milyon kullanıcının verisini Cambridge Analytica’ya satan Facebook, son yıllarda kullanıcıların güvenini yeniden kazanmaya çalışıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Güvenlik

Türk araştırmacı Apple’ın büyük açığını buldu

Yorum yapın

Türk araştırmacı Lemi Ergin, Apple’ın en yeni sürümü olan MacOS High Sierra’da sistem yöneticisine şifresiz giriş yapılarak erişmeyi ve böylece geniş yetkilere sahip olmayı mümkün kılan önemli bir güvenlik açığı keşfetti. Ergin’in bulduğu açığın ardından Apple, sorunu çözmek için bir yazılım güncellemesi üzerinde çalıştığını açıkladı.

BBC’nin haberine göre, Ergin, sisteme kullanıcı adını olarak ‘root’ yazıp ardından şifre alanını boş bıraktı ve ardından da birkaç kere “Enter” tuşuna basıp makineye sınırsız bir erişim sağladı. Öte yandan Ergin, yetkililere durumu haber vermeden kamuoyuna açıklama yaptığı için eleştirilerin hedefinde.

Bu tarz durumlarda açığı bulan kişilerin önce güvenlik yetkililerine haber vererek onların hatayı düzeltmeleri için makul bir zaman tanıyıp, daha sonra kamuoyuyla durumu paylaşması bekleniyor.

Lemi Ergin, konuyla ilgili bir açıklama yapmadı; Apple ise bu güvenlik açığından daha önce haberdar olup olmadığına dair bilgi vermedi. Güvenlik açığının sağladığı geniş yetkiler düşünüldüğünde, uzmanlar, durumu Apple için “utanç verici” bir açık olarak tanımlıyor.

Sistem yöneticisi erişimine sahip olanlar normal kullanıcılara göre çok daha geniş yetkilere sahip. Bu kişiler, aynı makinede yer alan diğer hesaplara ait dosyaların tamamı üzerinde işlem yapabilme, önemli sistem belgelerini silme, makineyi çalışamaz duruma getirme veya kötü amaçlı yazılımlar yükleme gibi yetkilere sahip olabiliyor. Öte yandan, Mac’e ancak fiziksel erişim olması durumunda kötü amaçlı kişiler bu açığı kullanabiliyor.

Açığın ortaya çıkması Apple’ı siber saldırganlar harekete geçmeden önce hızlı bir şekilde gerekli adımlara atmaya itiyor.

Surrey Üniversitesi’nden Profesör Alan Woodward, güvenlik zafiyetleri konusunda çok hızlı hareket etmenin de sorunlara yol açabileceğini söylüyor. Woodward’a göre, “Yetkililerin gerekli testleri yapacak zamanları olmadığı için başka sorunların ortaya çıkmaması için dikkatli olmaları gerekiyor.”

Bu arada Apple, sorun üzerinde çalışırken bir yandan da kullanıcılara root kullanıcısını etkinleştirerek şifre belirlemelerini tavsiye ediyor. Mac’inizde root kullanıcısını etkinleştirmek için şu linkten faydalanabilirsiniz: https://support.apple.com/tr-tr/HT204012?utm_source=webtekno

Güvenlik uzmanları, sistem ayarlarını bu şekilde değiştirme konusunda çekimser olan kullanıcılara, bilgisayarlarını devamlı gözlemlemelerini ve sistem güncellemesini takip etmelerini önerdi.

Küresel, Sektörel

GitHub ödül avcılarına 100 bin dolar ödedi

Yorum yapın

GitHub’ın iki yıl önce kurduğu ödül avcılığı programında yaklaşık 100 bin dolar ödeme yaptığı duyuruldu. 58 farklı güvenlik araştırmacısı gönderdikleri 7 binden fazla rapor karşılığında GitHub’ın programından 95 bin 300 dolar aldı.

Program aracılığıyla bulunan açıklıklar arasında özellikle bazıları dikkat çekiyor. 309 zayıf RSA anahtarının yanı sıra, Mac kullanıcıları için tasarlanmış GitHub programında da uzaktan kod çalıştırmada kullanılabilecek bir zafiyet ortaya çıkartıldı. Benzer bir zaafiyet, GitHub’ın Windows versiyonunda da bulundu.

İLGİLİ HABER >> DELL’DE ZARARLI YAZILIM ŞOKU

Programın ilk yılında web hizmetleri için açıklıkların bildirilmesine rağmen, geçen sene desktop uygulamalarında daha fazla açıklık bulunduğu belirtildi. Üçüncü taraf açıklıklarda da artışa dikkat çeken GitHub yetkilileri, bunlardan birinin GitHub çerezlerinin farklı domainlere gönderilmesi olduğunu söyledi.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Siber Güvenlik, Türkiye

NSA Türkiye’de kimleri neden dinledi?

Yorum yapın

ABD Ulusal Güvenlik Ajansı’nın (NSA) tüm dünyayı farklı yöntemlerle dinlediğini, eski ajan Edward Snowden’in açıkladığı belgeler sayesinde dünya kamuoyu öğrenmişti. ABD hükumeti de bu skandal için resmen özür dilemek zorunda kaldı ve dinlemeleri yaptığını kabul etti. Ancak olayın detayları, Snowden kaçıp saklandığı Rusya’dan belgeleri açıklamaya devam ettikçe daha da derinleşiyor.

Açıklanan son belgelere göre NSA, dünyadaki neredeyse bütün GSM Operatörlerinin çalışanlarını birebir dinlemiş. Bu operatörler içinde, Türkiye’deki GSM operatörlerinin çalışanları da bulunuyor.

Chip.com.tr’de yer alan ve Snowden’in sızdırdığı haritaya göre sadece Kanada, Burma ve Tunus’daki operatörleri dinlemek mümkün olmamış. NSA’nın yürüttüğü AURORAGOLD isimli bir proje kapsamında, tüm operatörlerin çalışanlarının e-postaları, telefon görüşmeleri ve her türlü iletişimi dinleme altına alınarak çalıştıkları GSM operatörlerindeki teknik açıklar öğrenilmiş ve bu açıklar kullanılarak asıl hedef aldıkları kişilere ulaşıp dinleme yapmak mümkün olmuş.

Çalışanlar, GSM ağındaki teknik problemleri çözmek için kendi aralarında yazışırken veya tartışırken, NSA da bu yazışmalar sayesinde, sisteme sızmasını kolaylaştıran teknik açıkları öğrenmiş.

Haritaya göre, Türkiye’deki GSM çalışanlarının yüzde 75’i dinlemeye alınmış.