Siber güvenlik alanında önemli bir keşif yapan araştırmacılar, Apple Intelligence'ın güvenlik altyapısında kritik bir zafiyet tespit etti. Apple'ın yapay zeka servisi, kullanıcı mahremiyetini korumak amacıyla anonim erişim tokenleri ve çift katmanlı doğrulama sistemi kullanıyor ancak bu koruma duvarları aşılabilir durumda.
'Serpent saldırısı' olarak adlandırılan bu yeni tehdit vektörü, saldırganların mağdur cihazlarından erişim tokenlarını ele geçirerek bunları tamamen farklı cihazlarda kullanmasına olanak tanıyor. Bu durum, sadece veri güvenliğini tehlikeye atmakla kalmayıp, çalınan tokenların mağdurun kullanım kotalarını tüketmesine de neden oluyor.
Araştırmacılar, bu açığı keşfetmek için üç farklı metodoloji kullandı: ağ trafiği analizi, tersine mühendislik teknikleri ve Apple'ın kamuya açık teknik dokümantasyonunu karşılaştırmalı inceleme. Bu kapsamlı yaklaşım sayesinde token dağıtım mekanizmasının zayıf noktaları ortaya çıkarıldı.
Özellikle endişe verici olan nokta, saldırının Apple'ın en güncel işletim sistemi olan macOS 26 Tahoe üzerinde bile başarıyla gerçekleştirilebilmesi. Bu durum, güvenlik açığının sadece eski sürümlerle sınırlı olmadığını, mevcut kullanıcıların da risk altında bulunduğunu gösteriyor.
Bu keşif, yapay zeka hizmetlerinin güvenlik mimarilerinin yeniden değerlendirilmesi gerektiğini vurguluyor ve sektörde daha sağlam koruma mekanizmalarının geliştirilmesi tartışmalarını alevlendiriyor.