Apple, macOS Tahoe 26.4 sürümünde Terminal'e yapıştırılan potansiyel olarak tehlikeli komutları tespit eden yeni bir güvenlik özelliği tanıttı. Bu tür komutlar belirlendiğinde, sistem yürütmeyi durduruyor ve kullanıcı devam etmeden önce bir uyarı gösteriyor. Bu değişiklik, macOS Tahoe 26.4 için Apple'ın resmi sürüm notlarında belirtilmemişti ve ilk olarak kullanıcılar, sürüm adayı yapısı kullanıma sunulduktan sonra fark etti.

Güvenlik önlemi, kullanıcıların Terminal'e kötü niyetli komutlar yapıştırmaya ikna edildiği, genellikle bir sorunu düzeltme ya da bir şeyi doğrulama bahanesiyle gerçekleştirilen ClickFix saldırılarına yönelik gibi görünüyor. Kullanıcının komutları manuel olarak yapıştırması gerektiğinden, standart güvenlik korumaları çoğunlukla aşılmış oluyor.

macOS Tahoe 26.4 Terminal Yapıştırma Uyarısının Çalışma Şekli

Bir kullanıcı, Safari'den bir komut kopyalayıp Terminal'e yapıştırdığında, sistem yürütmeyi geciktiriyor ve bir uyarı gösteriyor. Uyarı, kullanıcılara komutun henüz çalışmadığını bildiriyor ve dolandırıcıların genellikle kötü niyetli talimatları web siteleri ve diğer kanallar aracılığıyla dağıttığını uyarıyor.

Kullanıcıların iki seçeneği var: Kaynağa güvenmiyorlarsa veya komut hakkında emin değillerse yapıştırmayı iptal edebilirler ya da komutu tanıyorlarsa ve çalıştırmak istiyorlarsa yürütmeye devam edebilirler. Apple, kullanıcıların komutun ne yapacağını anladıkları sürece devam etmelerini öneriyor.

Reddit'te rapor edilen kullanıcı testlerine göre, uyarı yalnızca Terminal oturumu başına bir kez görünüyor. Bir testte, kötü niyetli faaliyetlerde kullanılan bilinen yıkıcı komutların yapıştırılması, ilk uyarı reddedildikten sonra ek uyarılar tetiklememiş. Başka bir kullanıcı, zararsız komutların yapıştırılmasının uyarıyı tetiklemediğini belirtti; bu da bir tür komut analizinin yapıldığını gösteriyor, ancak Apple, tespitin nasıl çalıştığına dair net bir açıklama yapmadı.

Yeni Terminal Yapıştırma Korumasının Kapsamı ve Sınırlamaları

Apple, uyarı sisteminin nasıl çalıştığını açıklayan bir destek belgesi yayınlamadı; bu, hangi tespit kriterlerini kullandığı veya hangi komut kalıplarının uyarıları tetiklediği konusunda belirsizlik yaratıyor. Ayrıca, kesmenin Safari dışındaki kaynaklardan yapıştırılan komutlara uygulanıp uygulanmadığı veya otomasyon veya betikler aracılığıyla başlatılan Terminal oturumlarının aynı şekilde kontrol edilip edilmediği de belirsiz.

Tespit yöntemi açıklanmadığı için, kullanıcıların ClickFix saldırılarına karşı koruma sağlamak için yalnızca uyarıya güvenmemeleri gerekiyor. Güvenilir olmayan web sitelerinden, e-postalardan veya destek sohbetlerinden gelen komutlar, bir uyarı görünse bile yürütülmemelidir. BleepingComputer, Apple'a açıklama için ulaştı, ancak şu anda şirket bu özellik hakkında sorulara kamuya açık bir yanıt vermedi.