iOS 15.8.5 ve iPadOS 15.8.5 için güvenlik güncellemesi ayrıntıları

Hacker News yorumları

• Son dönemde Apple arayüzü hakkında çok olumsuz görüş var ama gerçekten çok eski telefonlara kadar destek vermesi takdiri hak ediyor. Google Pixel tarafında böyle bir şey beklenemez gibi geliyor lol
  • Pixel 8 ve sonrası modeller 7 yıl destek alıyor. Apple kadar iyi değil ama oldukça makul. Pixel 6~7 ise 5 yıl destek alıyordu, bu biraz kısa sayılır. Gerçekten “lol” dedirtenler 2021 öncesi modeller ya da bazı Motorola modelleri
  • Ben Pixel 3XL kullanıyorum; en güncel Android ROM'u kurup kullanınca hâlâ gayet iyi gidiyor. Dürüst olmak gerekirse en yeni düşük bütçeli Android'lerden daha iyi olduğunu bile düşünüyorum. Resmî desteğin bitmiş olması üzücü
  • Pixel XL'imde gece web'de gezinirken sorunsuz çalışıyor. “Artık sistem güncellemesi yok” kaygısına biraz şüpheyle yaklaşıyorum. Eski cihaz kullanıp gerçekten güvenlik ya da risklere maruz kalmış örnekler hakkında araştırma ya da kişisel deneyim duymak isterdim
  • iPhone 12 mini'nin pilini yakın zamanda değiştirdim ve ilk aldığım zamanki kadar iyi performans veriyor. Bir gün zorla ‘yükseltme’ yapmak zorunda kalırsam üzücü olur
  • AB'de 5 yıl güncelleme desteği artık asgari şart hâline geldiği için, Apple artık Google ya da Samsung'la karşılaştırıldığında alt sıralarda kalıyor. Eskiden Apple daha iyi olabilir ama bugünlerde diğer üreticiler Apple'dan daha güçlü ve hukuken daha net destek taahhüt ediyor
• Şaşırtıcı değil. Eskiden iş için Samsung'la görüşüp yüzlerce amiral gemisi telefon satın almayı düşünmüştük; sadece 3 yıl güvenlik yaması vereceklerini söylediler. Bu da 2019 civarıydı. Apple ise ayrıca görüşme bile yapmadan tahminen 6 yıl kadar destek veriyordu. Bu yüzden yatırım getirisi açısından kurumsal kullanımda iPhone açık ara daha uzun ömürlüydü. Sonuçta yüzlerce iPhone aldık, Android'e hiç geçmedik. Kişisel olarak Nexus S ve Nexus 5 kullandım; yetersiz güncelleme, tuş arızası, mikrofon arızası gibi nedenlerle kısa ömürlü oldular. Sony Xperia Z5'te Kuzey Amerika patent meselesi yüzünden parmak izi sensörünü bir anda kaldırdılar, sonra Bluetooth ses de bozuldu ve şarkı adı görünmemeye başladı. Bunların hepsi 3 yıl içinde oldu. Artık Sony Android telefon asla kullanmam. Bir noktadan sonra özel ROM'lar da bıktırdı ve “iPhone, it just works” grubuna geçtim
  • Bu arada Samsung bugünlerde amiral gemilerine 7 yıl OS/güvenlik desteği veriyor, giriş/orta segment Galaxy A serisi bile 6 yıl alıyor
  • "it just works" sadece bir pazarlama sloganı. Çoğu insanın (%95+) kullandığı işlevlerle sınırlı kalırsan tamam, ama bunun dışına çıkınca ne olacağı belli olmuyor ve sorun çözmek de zor. Kapalı ve kısıtlayıcı. Benim Apple'la şansım kötüydü. İş için verilen Apple cihazlarımın desteği kısa sürdü; dokunmatik ekran arızası, uygulama kaynaklı yazılım sorunları, batarya kusuru, yarım çalışan hotspot gibi birçok sıkıntı yaşadım. Android'de böyle sorunlarım olmadı. Uygulama sorun çıkarıyorsa verisini sıfırlarsın; iOS'ta böyle bir özellik bile yok, bu da can sıkıcı. Şu sıralar bir Apple kullanan arkadaşımın e-posta istemcisi hem iOS'ta hem macOS'ta çalışmıyor. Veri ya da işletim sistemine göre farklı belirtiler gösterdiği için iki nokta arasında gidip gelerek 90 dakika yol yapıp bizzat bakmam gerekecek gibi. Apple bozulduğunda doğrudan çözüm üretme seçeneklerini fazla kısıtladığı için benim çalışmak istemediğim bir satıcı. Elbette çoğu özellik “çalışıyordur”, ama Android için de aynı şey geçerli; Sony'de kötü kura çektiğim gibi Apple'da da kötü deneyim yaşadım. Sorun çok büyürse en azından Sony gibi cihazlarda işletim sistemini değiştirme seçeneği daha iyi
• Android'de uzun vadeli desteğin zor olmasının büyük nedenlerinden biri, Qualcomm gibi modem/SoC tedarikçilerinin sürücü ve yazılım güncellemelerini sadece birkaç yıl vermesi. 2020~2021 öncesi cihazlarda çekirdek sürücüleri ya da modem güncellemeleri neredeyse yok. Elbette üretici entegrasyonu yapıyor ama sonuçta 3. taraf ROM'ların da (ör. lineageos) destek süresi sınırlı kalıyor. Apple çoğu parça ve yazılımı kendi içinde geliştirdiği için uzun süre destek vermede daha esnek olabiliyor
  • Bu iddiaya katılmayı zorlaştıran şey, güvenlik açıklarının (CVE) önemli bir kısmının modem, baseband sürücüleri gibi Broadcom'un kontrol ettiği bölümlerle ilgisiz olması. Google en azından kütüphane ya da uygulama gibi saldırı riski yüksek alanları hâlâ yamalayabilir. Ben daha çok “mesaj içindeki görseli ayrıştırma” tarafındaki açıkları dert ediyorum. Bunlarda sadece görsele tıklamak bile saldırıya uğramak için yeterli olabiliyor ve bu, modem tarafındaki açıklardan çok daha gerçekçi bir risk gibi geliyor
  • Doğru ama sonuçta bu Android'in kendi tasarımındaki temel bir sınır. Bu yüzden Android'i eleştirmenin meşru olduğunu düşünüyorum
  • Düşününce saçma. 20 yıllık NIC'ler bile Linux çekirdeğinde hâlâ sürücü desteği alıyor; akıllı telefon donanım sürücülerinin de GPL ile açık olması gerekir. Kapalı sürücüler sonunda kasıtlı cihaz ömrü kısaltmanın, yani planlı eskitmenin bir aracına dönüşüyor
  • Bu yaygın mazereti çürüten şey “sözleşme” denen yasal araç. Proje tesliminden sonra da istenildiği kadar güncelleme verilmesini zorunlu kılabilirsiniz. Ben de kurumsal danışmanlıkta bu tür sözleşmeleri sürekli yaptım
  • Bence Google istese bunu sözleşme ve parayla rahatça çözebilir
• Apple güvenlik duyurusunda “bu sorunun belirli hedefleri hedef alan gelişmiş saldırılarda istismar edilmiş olabileceğine dair bir rapordan haberdarız” deniyor. Geçmiş sürümlere böyle güvenlik yaması vermeleri, bunun çok ciddi bir açık olduğuna dair bir işaret sayılabilir mi merak ediyorum. Apple'ın güvenlik destek süresi için resmî ölçütü nedir?
  • Bu, gerçekten spyware kampanyalarında, yani gerçek saldırılarda kullanıldığı anlamına geliyor. Tam istismar zinciri, WhatsApp tarafındaki ikinci bir açığı kullandı ve bu açık Apple'ın varsayılan görsel işleme modülünü kullanan tüm uygulamalarda mevcut olsa da Apple'ın sandbox mekanizmaları (iMessage için BlastDoor, Safari için web content sandbox vb.) sayesinde ek kusurlar olmadan istismar edilmesi pek olası değil. Ama WhatsApp'ın kendisi savunmasızsa durum değişir. Spyware saldırganları açısından en iyi hedef WhatsApp olduğu için. Bkz: WhatsApp güvenlik duyurusu
  • İlginç bir nokta da, bu yamanın iPadOS ayrımından önceki sürüme gelmesi nedeniyle iPad'lerin de güncelleme alması. Tahminen eski iPad kullanan POS cihazları hedef alınmış olabilir diye düşünüyorum. Restoranlarda POS sistemini değiştirmek de kolay bir iş değildi. POS satıcıları çoğu zaman fahiş fiyat çekiyor

  • Apple'ın varsayılan güvenlik desteği süresi ne kadar?
    Aslında bunun desteği çok uzun zaman önce bitmiş değil. iOS 15 için son güvenlik güncellemesi bu yılın başında geldi ve iOS 16 ile iPhone 6s'in yeni OS desteği dışında kalması da sadece birkaç yıl önceydi. Benim gibi iPhone'u 5 yıldan uzun kullanan biri için, Android'den çok daha uzun süre destek verilmesi takdire değer geliyor

  • Bu tür bir backport'un eski sürüme yapılması, çok ciddi bir açık olduğuna işaret eder mi?
    Ben de öyle tahmin ediyorum. Kullanıcı açısından kontrol edilemeyen ciddi bir sorun, yani zero-click anlamına geldiğini düşünüyorum. Elbette Apple'ın bakışı ne bilmiyorum ama benim de izlenimim bu

  • Kesin bir resmî süre yok. Gerçekten önemli bir konuysa çok eskiye kadar güncelleme yayınladıkları oluyor. Örneğin geçmişte Square terminal iPad'leri için Apple CA süresi dolma güncellemesini neredeyse tüm cihazlara göndermişlerdi. Muhtemelen destek bitiş tarihini belirlerken Apple'ın telemetrisi ve tehdit modeli etkili oluyor
• Apple'ın eski cihazlar için güvenlik güncellemeleri yayınlaması ilginç. Üstelik bu kez ulus-devlet düzeyinde (siber savaş vb.) saldırganlara karşı bir savunma olması bakımından daha da özel

  Apple bu sorunun belirli hedefleri hedef alan son derece sofistike bir saldırıda istismar edildiğine dair bir rapordan haberdar

  • Ulus-devlet düzeyinde saldırı ihtimali varsa doğru yaklaşımın, en güncel OS kurulu yeni bir telefon kullanmak olduğunu düşünüyorum. Yeni telefon almak birkaç on bin lira seviyesinde; devlet kaynaklı saldırılardan endişe ediyorsanız son 5 yıl içinde çıkmış bir telefona rahatça geçebilirsiniz. Buna değer
  • Bence asıl mesele, saldırı karmaşıklığı ve ulus-devlet düzeyindeki tekniklerin daha yaygın hack araçlarına dönüşmesinden önce yama çıkarıp çok daha fazla sayıda sıradan kullanıcıyı korumak
• Bence makale başlığı biraz yanıltıcı. Sanki sadece iPhone 6s güncelleme alıyormuş gibi duruyor ama aslında iPhone 6s/7/SE 1. nesil, iPad Air 2, iPad mini 4. nesil ve iPod touch 7. nesil de güncellenebiliyor. Mesele sadece “10 yıllık iPhone 6s” değil. Bu arada yedek cihazlarım olan iPhone 7 ve iPad mini'yi jailbreak meselesi yüzünden hemen güncellemeyi düşünmüyorum
  • Muhtemelen makalede en eski cihazı temsilî olarak öne çıkardılar. Bunun büyük bir sorun olduğunu sanmıyorum
• Bu durumda kimin baktığına bağlı olmaksızın ciddi biçimde ulus-devlet saldırısı havası var
  • Tek bir devletin işi gibi tahmin ediyorum
• Apple'ın telefonlarını epey uzun süre desteklediği doğru. Ama 10 yıl destek söylemi ancak iPhone 6s'i çıktığı gün pahalıya alıp kullandıysanız geçerli. iPhone 7 (Plus) 2019'a kadar satıldı ve aynı OS sürümünü kullanıyor. Daha sert bakarsak OS yükseltmesi yaklaşık 3 yıl, güvenlik yaması da 6 yıl gibi
  • Destek süresini üreticinin satıştan kaldırdığı tarihe göre hesaplarsanız, bazı Android cihazlarda destek yılı eksiye bile düşebilir. Üstelik o 6 yıl da “hâlâ” devam ediyor
• Apple'ın güncelleme vermesi iyi bir şey. Ama bu uzaktan kod çalıştırmaya (RCE) kadar gidiyorsa, bu iPhone 6s'lerin hâlâ sahada çok yaygın olduğu ve kötü niyetli saldırganların toplu saldırı deneyebileceği anlamına mı geliyor, merak ediyorum
• “iOS 18.6.1 0-click RCE POC,” 50 yorum, ilgili bağlantı
  • Önceki başlıkta anılmamış gibi görünen şu WhatsApp güvenlik duyurusu da birlikte bakmaya değer. Bu istismar, WhatsApp sorunu ile bağlantılı olarak kötü amaçlı DNG verisini “zero-click” biçimde WhatsApp'a yükletiyor gibi görünüyor. Sandbox'tan kaçış ya da çekirdek açığıyla birleştirilip birleştirilmediği net değil. Belki de sadece WhatsApp mesajlarını ele geçirmeye kadar gidiyordu. Genelde iOS güvenliğini aşmak için birden fazla açığın zincirlenmesi gerekir; ama böyle durumlarda hedef uygulamanın kendisi de açıksa saldırı çok daha kolaylaşır.