iPhone’daki ‘Lockdown Mode’ nedeniyle FBI, Washington Post muhabirinin iPhone’unu açamadı

 (404media.co)
1 puan yazan GN⁺ 2026-02-05 | 1 yorum | WhatsApp'ta paylaş
  • Mahkeme belgeleri, Lockdown Mode etkin bir iPhone nedeniyle FBI’ın el koyduğu gazetecinin cihazında adli bilişim incelemesi yapamadığını ortaya koydu
  • Washington Post muhabirinin iPhone’u el konulduğunda açıktı, ancak Lockdown Mode nedeniyle veri çıkarımı yapılamıyordu
  • Hükümet belgelerinde, FBI’ın Computer Analysis Response Team (CART) biriminin ilgili iPhone’dan veri çıkaramadığı açıkça belirtildi
  • Lockdown Mode aslında ileri düzey hedefli casus yazılımlara karşı savunma amacıyla tasarlanmıştı, ancak fiziksel adli bilişim erişimini de kısıtladığı görüldü
  • Bu durum, Apple’ın gelişmiş güvenlik özelliklerinin kolluk kuvvetlerinin dijital erişimini engelleyebildiğini gösteren bir örnek olarak, mobil güvenliğin güçlenmesi ile kolluk kuvveti adli bilişimi arasındaki rekabeti ortaya koyuyor

Olayın özeti

  • Washington Post muhabiri Hannah Natanson’ın evi, 2026 yılının Ocak ayında gizli bilgi sızdırılması soruşturması kapsamında FBI tarafından arandı
  • Soruşturma, devlet yüklenicisi Aurelio Perez-Lugones hakkında gizli bilgileri bulundurma ve aktarma suçlamalarıyla bağlantılı
  • Hükümet, Perez-Lugones’un Natanson’a gizli bilgi sağlayan kaynak olduğunu düşünüyor

El konulan cihazlar ve erişim sonucu

  • El konulan cihazlar arasında iPhone 13, 2 adet MacBook Pro, harici disk ve ses kayıt cihazı bulunuyordu
  • iPhone’un açık ve şarja takılı olduğu, ekranda da ‘Lockdown Mode’ ibaresinin göründüğü tespit edildi
  • Mahkeme belgelerine göre, “Lockdown Mode nedeniyle CART ilgili iPhone’dan veri çıkaramadı” denildi
  • El koymanın ardından yaklaşık iki haftadan uzun süre boyunca FBI iPhone’a erişemedi

Lockdown Mode’un teknik anlamı

  • Lockdown Mode, iOS saldırı yüzeyini en aza indirmek için mesaj ekleri, web işleme ve FaceTime bağlantıları gibi özellikleri kısıtlıyor
  • Harici cihaz bağlantılarında cihaz kilidinin açılması zorunlu tutuluyor
  • Graykey ve Cellebrite gibi fiziksel bağlantı tabanlı adli bilişim araçlarının başlıca erişim yollarını engelliyor
  • Dijital adli bilişim şirketi Garrett Discovery’nin CEO’su, “Birçok gelişmiş soruşturma tekniği Lockdown Mode tarafından engelleniyor” dedi

Biyometrik kimlik doğrulama ve yasal zorla açtırma

  • Arama kararında, parmak izi veya yüz tanıma zorla kullandırılarak kilidin açılmasına izin veren yetki yer alıyordu
  • Natanson, iPhone’unda biyometrik kimlik doğrulama kullanmıyordu ve Lockdown Mode durumunda böyle bir deneme zaten mümkün değildi
  • Buna karşılık ikinci MacBook Pro’nun parmak iziyle kilidi başarıyla açıldı

Erişilebilen veriler

  • FBI, kilidi açılan MacBook Pro’dan Signal uygulamasındaki konuşmalara ait fotoğraflar ve ses kayıtlarını elde etti
  • Ancak bu dizüstü bilgisayar için de tam fiziksel imaj (full physical image) hâlâ alınabilmiş değil

Kolluk kuvvetleri ile platformlar arasındaki güvenlik yarışı

  • Apple’ın 2024’te de uzun süre kullanılmayan iPhone’ların otomatik yeniden başlatılmasını sağlayan bir değişiklik yaptığı bildirilmişti
  • Bu sayede cihaz BFU (Before First Unlock) durumuna geçiyor ve adli bilişim süreci daha zor hale geliyor
  • Bu olay, yazılım güvenliğinin güçlendirilmesinin gerçek soruşturma sahasında işe yaradığını gösteren bir örnek olarak kayda geçti

Resmi açıklama

  • Apple ve Washington Post, yorum taleplerine yanıt vermedi
  • FBI ise konu hakkında resmî yorum yapmayı reddetti

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-05
Hacker News yorumları
  • Makalenin arşiv bağlantısı
  • Touch ID'nin zorla kullandırılabileceğini, ancak parolanın zorla istenemeyeceğini unutmamak gerekir
    İlgili tweet'e göre FBI, muhabir Hannah Natanson'ın iş için kullandığı MacBook'ta Touch ID'yi kullanarak Signal mesajlarına erişti. Dizüstü bilgisayar Touch ID kimlik doğrulamasına izin verdiği için, yasal olarak kilidin açılması talep edilebildi
    • Twitter ayna bağlantısını paylaşıyor. Amaç, belirli bir milyarderin sahip olduğu platformu doğrudan desteklememek
    • Daha önce başka bir konuda önerilen MacBook uyku ayarı komutu burada da yardımcı oluyor
      Açıklama için bu bağlantıya bakın. Dizüstü bilgisayar kapatıldığında veya uyku moduna geçtiğinde RAM'i diske yazar ve tamamen kapanır. Yeniden başlatma daha yavaş olur, ancak ilk kilit açmada parmak izi doğrulamasına izin verilmediği için cold boot seviyesinde güvenlik korunabilir
    • Parolayı vermezseniz mahkemeye saygısızlık (contempt) nedeniyle 18 aya kadar hapsedilebilirsiniz
      İlgili vaka
    • Bizim haklarımız, doğal hukuktan değil, hükümet tarafından saygı görmesi için uğruna mücadele edilmesi gereken şeylerdir
    • Hangi parmağın kullanıldığına dair bilginin kendisinin parola kadar korunup korunmadığını merak ediyorum
      Kolluk kuvvetleri fiziksel olarak parmağınızı zorla sensöre bastırabilir, ancak hangi parmağın doğru olduğunu açıklamayı reddetme hakkınız olabilir. Birkaç kez yanlış denenirse cihaz kilitlenir ve parola ister. Bu yüzden şaka yollu olarak köpeğimin burnunu kullanmanın daha iyi olacağını söylüyorum
  • Apple'ın Lockdown Mode özelliğinin fazla "ya hep ya hiç" olması sinir bozucu
    Yalnızca bazı özellikleri açmak istiyorum (tanımadığım kişilerden gelen FaceTime'ı engellemek, bağlantı önizlemelerini kapatmak, kilitliyken harici cihaz bağlantısını engellemek vb.), ama diğer kısıtlamaları istemiyorum. İnce ayar seçenekleri tek tek açılıp kapatılabilse iyi olurdu.
    Örneğin JavaScript JIT'i devre dışı bırakmak web performansını ve pili olumsuz etkiliyor. Paylaşılan albümler veya özel font yükleme de engelleniyor. Bu ayrıntılı güvenlik ayarlarının eksikliği, tersine güvenliği zayıflatıyor
    • Ben de paylaşılan albüm kısıtlamasına katılıyorum. Lockdown Mode açıkken aile albümünü görüntüleyemediğimi ancak sonradan fark ettim. Fotoğraf paylaşmak için geçici olarak kapatıp sonra yeniden açmak zorunda kaldım.
      Ayrıca Screen Time istekleri de çalışmıyor. Bildirim geliyor ama yanıt veremiyorsunuz.
      Apple'ın bunu neden ya hep ya hiç olarak tasarladığını anlıyorum — tek bir riskli ayara izin vermek bile tüm güvenlik modelini bozabilir.
      Yine de en büyük rahatsızlık, bir sorun çıktığında sebebin Lockdown Mode olduğunu anlayamayıp sık sık kapatıp açmak zorunda kalmak
    • Bunun anlamı, Lockdown Mode'da profilleri değiştirememeniz. Mevcut profil korunuyor
    • Aile albümü Lockdown Mode'da da çalışıyor. Web kısıtlamaları uygulama veya site bazında da kaldırılabiliyor
    • Tarayıcıda JavaScript JIT'i devre dışı bırakmak, aslında "akıllı telefonla internette gezinmek zaten kötü bir fikir" dersini veren bir özellik
  • Muhabirin Signal masaüstü uygulamasının ele geçirilmiş olması üzücü. Masaüstü sürüm, dizüstü bilgisayar saldırganın eline geçtiğinde çok daha savunmasız
    • Masaüstü Signal'in neden daha az güvenli olduğunun ayrıntılı biçimde açıklanması isteniyor
    • Hassas mesajlar için otomatik silme ayarlamazsanız, normal SMS'ten farkı kalmaz
    • Bu düzeyde bir muhabirin temel güvenlik hijyenine uyduğunu düşünmüştüm. Umarım bu olay diğer gazeteciler için bir uyarı olur
    • Makaledeki sonucun kuşkulu olduğu söyleniyor. iPhone'un gerçekten açılamadığı mı, yoksa gerekli verilerin zaten iCloud senkronizasyonu ile elde edildiği mi belirsiz. Dizüstü bilgisayar zaten ele geçirilmişse iMessage, arama kayıtları ve iCloud verileri de elde edilmiş olmalı; bu durumda neden ayrıca telefonu hedef aldıkları sorgulanıyor
    • BitLocker veya FileVault gibi disk şifrelemesinin aşılıp aşılmadığı ya da erişimin cihaz zaten açıkken mi sağlandığı merak ediliyor
  • Lockdown Mode'un engellemiş olması, daha düşük güvenlik ayarlarında hükümetin içeri sızabileceğine dair bir ima mı diye soruluyor
    Advanced Data Protection ile iCloud verileri E2EE ile korunabiliyor ve Face ID zorla kullandırılabiliyor; ancak güç düğmesine 5 kez basarak PIN moduna geçerseniz bunun yasal olarak zorlanamayacağı söyleniyor.
    Lockdown Mode bunu engellediyse, hükümetin PIN modunda işe yaramayan bir zero-day'e sahip olduğu mu anlamına geliyor?
    • Hükümetlerin kullandığı araçların çoğu NSO Group'un Pegasus'u gibi casus yazılımlar
    • Evet
  • Muhabir "parmak izi kullanmıyorum" demiş ama soruşturmacılar parmağını bastırınca dizüstü bilgisayarın açılması şüpheli görünüyor
    • Muhtemelen yıllar önce ayarlayıp unuttu. İlk kurulum sırasında kaydetmiş olabilir
    • Gerçekten öyleyse, geçmişte bir kez kaydetmiş olması mı gerekiyor? Parmak izini nasıl tanıdığı merak ediliyor
    • Bunun neden şüpheli bulunduğunu soran bir yorum da var
    • Parmak izi hiç kaydedilmemişse, tanıma zaten mümkün olmaz. Sensör hata verse bile varsayılan olarak kilit açılmaz
  • "Lockdown Mode, hack'lemeyi zorlaştıran bir özellik" ifadesi ilginç bulunuyor
    Bir şeyi kapatmanın da bir özellik sayılması garip; buna sadece ayar (setting) demek daha doğru olmaz mı?
    iPhone kullanıcılarının çoğu varsayılan ayarları değiştirmiyor. Google'ın Apple'a milyarlarca dolar ödemesinin nedeni de varsayılan arama ayarı.
    Lockdown Mode varsayılan değil ve neredeyse kimse kullanmıyor.
    Eğer bu mod iPhone'u daha güvenli yapıyorsa, o zaman varsayılan ayarlar aslında hack'lemeyi kolaylaştırıyor demektir
    • Lockdown Mode, gazeteciler veya insan hakları savunucuları gibi Pegasus benzeri saldırıların hedefi olabilecek küçük bir grup için tasarlanmış bir koruma özelliği.
      Mesaj eklerini engelleme, tanımadığınız kişilerden gelen FaceTime'ı engelleme, Safari özelliklerini kısıtlama gibi şeyler sıradan kullanıcılar için ciddi rahatsızlık yaratıyor.
      Bu yüzden bunu varsayılan yapmak gerçekçi değil ve genel kullanıcı güvenliğine de büyük katkı sağlamaz
    • Saldırı yüzeyini azaltmak aynı zamanda veri toplama ve reklam takibini azaltmak anlamına gelebilir; bu da Apple'ın gelirini etkileyebilir.
      Varsayılan olmamasının nedeni bu olabilir
  • Bazı bölgelerde Face ID, parmak izinden daha güvenli kabul ediliyor. Çünkü gözler kapalıyken kilit açılamıyor
    Avrupa'daki bazı ülkelerde parmağı zorla sensöre bastırmak yasal olabilirken, gözleri zorla açtırmak yasadışı sayılıyor
    • Ancak buna karşılık, uyuyan birinin yüzüyle Face ID'nin çalıştığını gördüm diyenler de var
  • Harici cihaz bağlantısı koruması için tüm Lockdown Mode'u açmak verimsiz bulunuyor
    Ben iPhone'u güç dışında hiçbir cihaza bağlamıyorum.
    Sadece "harici aksesuar koruma modu" diye ayrı bir seçenek olsa hemen açarım, ama Apple bunun yerine "cihazınız her zamanki gibi çalışmayabilir" diye uyarıyor
    • iOS 26'dan itibaren Privacy & Security > Wired Accessories ayarında, yeni bir cihaz bağlandığında erişime her zaman izin verilip verilmeyeceği sorulacak şekilde ayarlanabiliyor
    • GrapheneOS, varsayılan olarak kilitliyken yalnızca güç beslemesine izin veriyor ve donanımsal engelleme sayesinde USB saldırı araçlarına karşı tamamen bağışık
    • Aslında 2014'ten beri herkes Pair Lock/Supervise özelliğiyle bunu yapabiliyordu
      2014 tarihli yazı, güncel rehber incelenebilir
    • Ayar yolu Settings > Privacy & Security > Wired Accessories ve her yeni aksesuar bağlantısında sorması sağlanabiliyor
    • İnce ayarlı güvenlik seçeneklerinin olmaması yüzünden kullanıcıların güvenlikten vazgeçmesi en büyük sorun