Apple iOS 8’de Güvenlik

Haziran 17, 2014

Apple her zaman olduğu gibi bu sene de, World Wide Developers konferansında mobil işletim sisteminin yeni sürümünü duyurdu. Kaliforniya Cupertino’lu  bilgisayar şirketi, iOS 8’i “dünyanın en gelişmiş mobil işletim sistemi” olarak adlandırıyor. Bu iddia elbette tartışılır ancak platform çok iyi düşünülmüş güvenlik ve gizlilik özellikleri ile önemli uygulama geliştirme ortamı araçları yenilikleri barındırıyor.ios8-blog

En güçlü güvenlik ve gizlilik yükseltimi muhtemelen kullanıcılar tarafından en az dikkat çekeni olacak: medya erişim kontrol (MAC) adresi rasgele seçimi. MAC adresleri cihazların Wi-Fi ağlarındaki davranışlarını izlemek için geniş çaplı kullanılan tekil tanımlayıcılardır. Satıcılar ve diğerleri, müşterileri herkese açık ağlara bağlandığında ve etkileşime geçtiğinde onların davranışları hakkında daha fazla bilgi edinmek için MAC adreslerini izlerler.

Problem şu ki, pek çok kullanıcı bu izlemeden habersizdir ve dolayısı ile bu konuda bir rızaları bulunmamaktadır. En azından bildiğimiz tarzda yoktur.

iOS 8 ile iCihazlar kablosuz ağlarda tarama yaparken rastgele MAC adresleri üretecek. Bu sayede satıcıların, müşterilerin mağaza içi hareketlerini ve diğer davranışlarını izlemesi imkansız hale gelecek. MAC adresi rasgele seçimi özelliği, çoğu Apple sever tarafından fark edilmeyen ancak çok önemli bir gizlilik yükseltimi.

Bir diğer güzel güvenlik ve gizlilik güncellemesi ise Safari için varsayılan olarak alternatif arama motoru DuckDuckGo’nun gelmesi. DuckDuckGo kullanıcıların arama sorguları veya herhangi başka bilgilerini toplamamaktadır. Ayrıca DuckDuckGo mümkün olduğunda kullanıcıların websiteleri ile HTTPS bağlantı kurmasını sağlamaktadır. DuckDuckGo ile yapılan aramalar diğer arama motorlarının çoğunda olduğu gibi sizin ilgi alanlarınıza göre şekillendirilmedikleri için daha organik.

Elbette bu sürüm çok ilgi çekici ve kullanılabilir özellikleri de beraberinde getiriyor. Fotoğraflar tüm bağlı cihazlar arasında paylaştırılacak, kullanıcılar kolayca sesten yazıya çevrilen mesajlar atabilecekler ayrıca şirket yeni ve sade bir uyarı arabirimi de sunuyor. Elbette cihazlar arası fotoğraf paylaşımı bazı gizlilik ve güvenlik konularını gündeme getirebilir ancak şu an için güvenlik açısından pek fazla bir şey yok.

Ancak, aile paylaşımı ile ilgili klavye özellikleri, derin iCloud entegrasyonu ve yeni platformun daha fazla uygulama geliştirmeyi özendiren yapısının ciddi komplikasyonları olabilir.

Şirket, yeni yazılım geliştirme kitinin 4000’i aşkın uygulama programlama arabirimi (API) ile App Store’un açılmasından bu yana en büyüğü olduğunu belirtiyor. Eğer basın bültenlerini doğru anladıysak, bu hamleler yeni uygulama geliştirme dili ile App Store’u Google Play gibi daha açık (Apple’ın ön kontrol kuralı halen geçerli olarak) hale dönüştürecek. Bir yandan bu, daha çok uygulama anlamına geliyor. Diğer yandan Apple’ın değişen ortamda güvenliği nasıl kontrol ettiğine bağlı olarak bu durum yeni tehditlerin ortaya çıkmasına neden olabilir.

Göz atacağımız yeni uygulama geliştirici kitlerinden biri “HealthKit.” Bu kit ile uygulama geliştiriciler birbirleri ile daha iyi iletişim kuran ve antrenman bilgilerinden kan basıncına çeşitli bilgileri paylaşan uygulamalar geliştirebilecek. Son zamanlarda sağlık ve form tutma uygulamalarında bir patlama yaşanıyor. Ancak ilgimizi çeken konu, United States Federal Trade Commission’ın sağlık ve form tutma uygulamalarının kullanıcı bilgilerini tutma ve paylaşma konusunda yağmacı olmaları açısından yaptığı uyarı. Farklı uygulamalara bu verileri diğerleri ile paylaşma olanağının verilmesi – kullanıcı izni olsa bile ki bu izinden ziyade razı olmak sayılabilir – problemi kötüleştirmekten öteye gitmez. Dürüst olmak gerekirse, biraz kişisel veri paylaşmak daha fazla antrenman yapacağınız anlamına geliyorsa bu iyi bir alışveriş sayılır.

HomeKit konu olan API’lerden bir diğeri. Bu API ile yazılım geliştiricilerin giderek “akıllılığı” artan modern evlerle daha etkileşime geçen ve bağlantısı artan uygulamalar geliştirmesi mümkün olacak. Eğer Kaspersky Daily blogunu periyodik olarak takip ediyorsanız ev otomasyonu sistemlerinin güvenlik konusunda düşük notlarından haberdarsınızdır. Apple tüm bunları güvenli bir şekilde birleştirip – bu bir şekilde kriptolama kullanıldığı anlamına geliyor – konfigüre ettiğini iddia ediyor ancak ürün piyasaya çıkmadan ne kadar güvenli olduğunu söylemek zor.

Eğer App Store piyasaya Android’in olduğu gibi açılırsa ilerde daha fazla zararlı yazılım görebiliriz.

Her şey bir yana bu yeni sürüm Apple’ın mevcut geliştirme ortamına yeni bir revizyon. İlgi çekici olmasının sebebi ise üçüncü parti klavyeler, programcıklar vs. gibi daha yeni ve yaratıcı uygulamaların bizleri bekliyor olması. Ancak korkutucu tarafı ise, yaratıcılığın daha fazla saldırı alanı ve saldırılarla daha fazla problem yaşama anlamına gelmesi. Yukarıda da bahsettiğimiz gibi eğer App Store piyasaya Android’in olduğu gibi açılırsa ilerde daha fazla zararlı yazılım görebiliriz.

Eğer tüm bu yeni uygulama geliştirme işinin güvenliği nasıl etkileyeceği konusundan konunun özünü öğrenmek istiyorsanız Andrew Cunningham tarafından Ars Technica’da yazılmış yazının ikinci sayfasına göz atmanızı öneririz.

Şimdi konuştuklarımızın dışında, yeni bir klavye kullanırken “daha önce yaptığınız yazışmalar ve yazım stilinize bağlı olarak sonra yazacağınız kelime veya cümlelerin size öneri olarak geldiğini görebilirsiniz.” Buna ek olarak “iOS 8 Messages uygulamasını kullanırken günlük dilde yazışmanızı ama Mail uygulamasında daha resmi bir dil ile yazmanızı sağlayacak önerilerde bulunacak. Ayrıca yazıştığınız kişiye bağlı olarak bunu ayarlayacak. Çünkü eşiniz ve patronunuz ile aynı tarzda yazışmak istemezsiniz.” Bu Apple’ın sizin hakkınızda daha fazla bilgi sahibi olacağı anlamına geliyor. Ne kadar kullanışlı olursa olsun bu gizlilikten uzaklaşma anlamında değerlendirilmelidir. iCloud’un artan depolama kapasitesi daha fazla hassas bilgiyi bir tek yerde saklayacağınız anlamına geliyor. Bu sebeple de kullandığınız hizmetler tarafından sunulan güvenlik özelliklerini etkinleştirme özelliklerini öğrenme ihtiyacınız artacak. Ayrıca bu yedeklenecek ve korunacak daha fazla kişisel veri anlamına geliyor.

Yeni Aile Paylaşımı özelliği kullanıcılara aile bireyi olarak bağlantıda oldukları insanlarla cihazlarını senkronize etme imkanı sunuyor. Bu tür bir düzen bazı açık riskler ve ebeveyn kontrolü avantajlarını bir arada sunarken saldırganların iCloud’a erişerek telefonları kilitlemeyi başardıkları saldırılar gibi durumlar için de yeni potansiyel tehlikeler taşımaktadır. Saldırganların kendilerini aile bireyi gibi göstererek kullanıcı bilgilerini izleyip cihazdan veri çalıp çalamayacağını görmek konusunda merak duyuyoruz.