Apple, dünya genelindeki milyonlarca aygıtını inançta tutmak için siber güvenlik araştırmacılarıyla yakından çalışıyor. Son olarak Apple altyapısında keşfedilen ve tüm işletim sistemlerini tehdit eden kritik bir güvenlik açığı, 25 yaşındaki Türk yazılımcı Ali Yabuz tarafından gün yüzüne çıkarıldı.

Apple’ın da resmi olarak doğruladığı ve CVE-2024-0258 koduyla literatüre geçen bu açık; iPhone, iPad, Mac, Apple TV ve Apple Watch üzere şirketin tüm ana platformlarını direkt etkiliyordu. Genç backend geliştiricisinin bu değerli keşfi, siber güvenlik dünyasında büyük ses getirirken Apple tarafından da resmi olarak kredilendirildi.

• Kritik Keşif: Türk yazılımcı Ali Yabuz, Apple’ın tüm ekosistemini etkileyen ve sandbox hudutlarının aşılmasına yol açabilen libxpc/XPC bileşenindeki büyük bir güvenlik açığını tespit etti.

• Apple’dan Resmi Doğrulama: Apple, siber güvenlik dünyasında CVE-2024-0258 koduyla kayda geçen bu açığı kabul ederek genç araştırmacıyı resmi olarak teşekkür listesine ekledi.

• Geniş Kapsamlı Güncelleme: Kelam konusu siber güvenlik açığı; iOS 17.4, macOS Sonoma 14.4 ve watchOS 10.4 üzere kritik güncellemelerle tüm dünya genelinde kapatıldı.

Tehlikenin Merkezindeki Bileşen: libxpc ve XPC Nedir?

Apple ekosisteminde güvenliğin en üst seviyede tutulması, uygulamaların birbirinin alanına müdahale edemediği “sandbox” yani muhafazalı alan mimarisine dayanıyor. Ali Yabuz’un radarana takılan açık ise tam olarak bu mimarinin kalbinde, uygulamalar ile sistem servisleri ortasındaki köprüyü kuran libxpc/XPCbileşeninde yer alıyor.

Normal kurallarda sistemin en inançlı ve izole çalışması gereken bu yapısı, tespit edilen açık nedeniyle siber korsanlar için bir giriş kapısına dönüşme riski barındırıyordu. Berbat niyetli bireylerin yahut ziyanlı yazılımların, bu zafiyeti kullanarak kendilerine yüksek yetkiler tanımlayabileceği ve aygıtların en derin sistem katmanlarına sızabileceği anlaşıldı. Bu durum, kullanıcı bilgilerinin kapalılığından aygıtların büsbütün ele geçirilmesine kadar çok önemli riskleri beraberinde getiriyordu.

13 Yaşında Başlayan Serüven Apple Listelerine Taşındı

Yeditepe Üniversitesi Halkla Bağlantılar ve Tanıtım Kısmı mezunu olan 25 yaşındaki Ali Yabuz, aslında çekirdekten yetişen bir yazılımcı. Şimdi 13 yaşındayken kodlama dünyasına adım atan Yabuz; mesleği boyunca bilakis mühendislik, düşük düzey programlama, işletim sistemi bileşenleri ve backend sistemler üzerine ağırlaştı. Son 4 yıldır Azerbaycan merkezli OctoTech teknoloji ajansında uzaktan (remote) Backend Developer olarak çalışan genç yazılımcı, merakının ve teknik uzmanlığının peşinden giderek Apple altyapısını incelemeye karar verdi.

Yürüttüğü derinlemesine siber güvenlik araştırmaları sonucunda işletim sisteminin temelindeki bu zayıf noktayı yakalayan Yabuz, durumu vakit kaybetmeden Apple Product Security (Apple Eser Güvenliği) takımına raporladı. Apple mühendislerinin yaptığı incelemelerin akabinde açığın varlığı kabul edildi ve Ali Yabuz, dünyanın en itibarlı teknoloji şirketlerinden biri tarafından resmi güvenlik araştırmacısı olarak kredilendirildi.

Milyonlarca Aygıtı Koruyan Güncelleme Yayınlandı

Apple, siber güvenlik açığının doğrulanmasının akabinde süratle aksiyon alarak küresel bir güncelleme dalgası başlattı. Şayet aygıtlarınızı nizamlı olarak güncelliyorsanız, aslında bu Türk yazılımcının katkısıyla hazırlanan güvenlik yamalarını çoktan telefonunuza yahut bilgisayarınıza yüklemiş olabilirsiniz. CVE-2024-0258 kodlu zafiyet, şu işletim sistemi sürümleriyle büsbütün kapatılarak sistemler inançlı hale getirildi:

• iPhone ve iPad: iOS 17.4 ve iPadOS 17.4

• Mac Bilgisayarlar: macOS Sonoma 14.4

• Apple Watch: watchOS 10.4

• Apple TV: tvOS 17.4

Genç Yazılımcılar İçin İlham Verici Bir Örnek

Türkiye’den bağımsız bir siber güvenlik araştırmacısının dünyanın en büyük teknoloji devlerinden birine bu derece kritik bir raporlama yapması, yerli teknoloji ekosistemi açısından büyük değer taşıyor. Ali Yabuz’un bu başarısı, gerçek odaklanma ve teknik donanımla global ölçekte nasıl fark yaratılabileceğini kanıtlıyor. Bilhassa siber güvenlik dünyasına adım atmak isteyen genç yazılımcılar için bu tıp muvaffakiyet kıssaları, global teknoloji şirketlerinin kapılarının imkansız olmadığını bir kere daha gösteriyor.