Apple’ın Kritik Güvenlik Açığını Bir Türk Yazılımcı Keşfetti

Apple, dünya genelindeki milyonlarca cihazını güvende tutmak için siber güvenlik araştırmacılarıyla yakından çalışıyor. Son olarak Apple altyapısında keşfedilen ve tüm işletim sistemlerini tehdit eden kritik bir güvenlik açığı, 25 yaşındaki Türk yazılımcı Ali Yabuz tarafından gün yüzüne çıkarıldı.

Apple’ın da resmi olarak doğruladığı ve CVE-2024-0258 koduyla literatüre geçen bu açık; iPhone, iPad, Mac, Apple TV ve Apple Watch gibi şirketin tüm ana platformlarını doğrudan etkiliyordu. Genç backend geliştiricisinin bu önemli keşfi, siber güvenlik dünyasında büyük ses getirirken Apple tarafından da resmi olarak kredilendirildi.

• Kritik Keşif: Türk yazılımcı Ali Yabuz, Apple’ın tüm ekosistemini etkileyen ve sandbox sınırlarının aşılmasına yol açabilen libxpc/XPC bileşenindeki büyük bir güvenlik açığını tespit etti.

• Apple’dan Resmi Doğrulama: Apple, siber güvenlik dünyasında CVE-2024-0258 koduyla kayda geçen bu açığı kabul ederek genç araştırmacıyı resmi olarak teşekkür listesine ekledi.

• Geniş Kapsamlı Güncelleme: Söz konusu siber güvenlik açığı; iOS 17.4, macOS Sonoma 14.4 ve watchOS 10.4 gibi kritik güncellemelerle tüm dünya genelinde kapatıldı.

Tehlikenin Merkezindeki Bileşen: libxpc ve XPC Nedir?

Apple ekosisteminde güvenliğin en üst düzeyde tutulması, uygulamaların birbirinin alanına müdahale edemediği “sandbox” yani korumalı alan mimarisine dayanıyor. Ali Yabuz’un radarana takılan açık ise tam olarak bu mimarinin kalbinde, uygulamalar ile sistem servisleri arasındaki köprüyü kuran libxpc/XPCbileşeninde yer alıyor.

Normal şartlarda sistemin en güvenli ve izole çalışması gereken bu yapısı, tespit edilen açık nedeniyle siber korsanlar için bir giriş kapısına dönüşme riski barındırıyordu. Kötü niyetli kişilerin veya zararlı yazılımların, bu zafiyeti kullanarak kendilerine yüksek yetkiler tanımlayabileceği ve cihazların en derin sistem katmanlarına sızabileceği anlaşıldı. Bu durum, kullanıcı verilerinin gizliliğinden cihazların tamamen ele geçirilmesine kadar çok ciddi riskleri beraberinde getiriyordu.

13 Yaşında Başlayan Serüven Apple Listelerine Taşındı

Yeditepe Üniversitesi Halkla İlişkiler ve Tanıtım Bölümü mezunu olan 25 yaşındaki Ali Yabuz, aslında çekirdekten yetişen bir yazılımcı. Henüz 13 yaşındayken kodlama dünyasına adım atan Yabuz; kariyeri boyunca tersine mühendislik, düşük seviye programlama, işletim sistemi bileşenleri ve backend sistemler üzerine yoğunlaştı. Son 4 yıldır Azerbaycan merkezli OctoTech teknoloji ajansında uzaktan (remote) Backend Developer olarak çalışan genç yazılımcı, merakının ve teknik uzmanlığının peşinden giderek Apple altyapısını incelemeye karar verdi.

Yürüttüğü derinlemesine siber güvenlik araştırmaları sonucunda işletim sisteminin temelindeki bu zayıf noktayı yakalayan Yabuz, durumu vakit kaybetmeden Apple Product Security (Apple Ürün Güvenliği) ekibine raporladı. Apple mühendislerinin yaptığı incelemelerin ardından açığın varlığı kabul edildi ve Ali Yabuz, dünyanın en prestijli teknoloji şirketlerinden biri tarafından resmi güvenlik araştırmacısı olarak kredilendirildi.

Milyonlarca Cihazı Koruyan Güncelleme Yayınlandı

Apple, siber güvenlik açığının doğrulanmasının ardından hızla aksiyon alarak global bir güncelleme dalgası başlattı. Eğer cihazlarınızı düzenli olarak güncelliyorsanız, aslında bu Türk yazılımcının katkısıyla hazırlanan güvenlik yamalarını çoktan telefonunuza veya bilgisayarınıza yüklemiş olabilirsiniz. CVE-2024-0258 kodlu zafiyet, şu işletim sistemi sürümleriyle tamamen kapatılarak sistemler güvenli hale getirildi:

• iPhone ve iPad: iOS 17.4 ve iPadOS 17.4

• Mac Bilgisayarlar: macOS Sonoma 14.4

• Apple Watch: watchOS 10.4

• Apple TV: tvOS 17.4

Genç Yazılımcılar İçin İlham Verici Bir Örnek

Türkiye’den bağımsız bir siber güvenlik araştırmacısının dünyanın en büyük teknoloji devlerinden birine bu denli kritik bir raporlama yapması, yerli teknoloji ekosistemi açısından büyük önem taşıyor. Ali Yabuz’un bu başarısı, doğru odaklanma ve teknik donanımla küresel ölçekte nasıl fark yaratılabileceğini kanıtlıyor. Özellikle siber güvenlik dünyasına adım atmak isteyen genç yazılımcılar için bu tür başarı hikayeleri, küresel teknoloji şirketlerinin kapılarının imkansız olmadığını bir kez daha gösteriyor.