Apple’ın en güncel mobil işletim sistemi olan iOS 15’de ödeme yapan iCloud kullanıcılarına ücretsiz bir yükseltme olarak sunulan ‘iCloud Private Relay’ kullanıcılara web sitelerinden veya ağ servis sağlayıcılarından IP adreslerini ve DNS isteklerini gizleyebilmelerine olanak tanıyor.
Ancak siber güvenlik uzmanı ve Fingerprint JS’de araştırmacı olan Sergey Mostsevenko, bu hizmetin WebRTC API aracılığı ile IP adreslerini sızdırdığını keşfetti.
Güvenlik açığını detaylandıran Mostsevenko, bu sızıntının web sitelerinin ziyaretçileriyle doğrudan iletişim kurmasını sağladığını ve özel geçiş hizmetinin anonimleştirme amacını ortadan kaldırdığını gösteriyor.
Yeni Apple hizmeti, web tarama trafiğini şifrelemesi ve kullanıcının konumu ve IP adresi de dahil olmak üzere içeriğini gizlemesi aöısından bir VPN hizmetine benziyor. Hizmet aracılığıyla web’de gezinirken, ziyaret edilen web siteleri yalnızca iCloud tarafından atanan proxy IP adresini görüyor.
Mostsevenko’nun araştırmalarından bahseden The Daily Swig, hizmetin ICE (etkileşimli bağlantı kurma) yardımıyla iletişim kurmak için WebRTC’ye güvendiğini söylüyor.
Bu sürecin bir parçası olarak, IP adresi veya alan adı, bağlantı noktası, protokol ve daha sonra tarayıcıya geri döndürdüğü diğer bilgiler gibi çeşitli bilgileri içeren ICE içerikleri olarak depolanıyorlar.
Ancak Mostsevenko, Apple’ın Safari web tarayıcısının gerçek IP adreslerini içeren ICE içeriklerinin geçtiğini tespit etti.
Güvenlik açığını Apple’a bildiren ancak kendisinden haber almayan Mostsevenko, “Bu güvenlik açığını düzeltmek için Apple’ın Safari’yi, tüm trafiği iCloud Özel Aktarım üzerinden yönlendirecek şekilde değiştirmesi gerekecek.” diyerek sözlerini tamamladı.
Apple’ın bu konu üzerinde durduğunu ve önümüzdeki günlerde iOS 15’e yapacağı ara bir güncelleme ile bu problemi ortadan kaldıracağını umuyoruz.