Apple'ın Açığını Buldu, Apple'dan Küçük Çaplı Bir Servet Kazandı

Apple'ın, "Apple ile Oturum Aç" oturum açma sisteminde bulduğu tek bir açık, bu güvenlik araştırmacısına küçük bir servet kazandırdı.

Apple'dan 100.000 Dolar Ödül Kazandı

Bir güvenlik araştırmacısı, Apple'ın diğer siteler üzerinden oturum açmaya izin veren sisteminde bulduğu açık sayesinde 100.000 dolar ödül kazandı.

Araştırmacı Bhavuk Jain, nisan ayında Apple'ın 2019'da kullanıma sunduğu "Sign in with Apple" işlevinde bir güvenlik açığı buldu. Bu işlev, kullanıcıların Apple hesap kimliğini kullanarak üçüncü parti uygulamalara oturum açmaya izin veriyor. Sorunu ödül programı için Apple'a gönderen Jain, 100.000 doları görünüşte çabucak kazandı. Elbette açıkları bulmak çoğu zaman uzun çalışmalar ve tecrübe gerektirebiliyor.

Açık, Apple'ın bu işlevini kullanan tüm üçüncü parti uygulamaları etkiliyor. Facebook ve Google'ın oturum açma hizmetlerine benzeyen işlevdeki açığın "üçüncü parti uygulamada hesabın tamamen ele geçirilmesine" yol açabiliyor. Üstelik bunun için kurbanın geçerli bir Apple ID'sine sahip olması da gerekli değil.

27 yaşındaki Jain, herhangi bir eposta kimliği için anahtar talep edebildiğini fark etti. Bunlar Apple'ın genel anahtarıyla doğrulandığında, geçerli olarak kabul ediliyordu. Bir başka deyişle herhangi birinin eposta adresine sahipseniz, bu kişinin üçüncü parti sitelerdeki hesabına girebiliyordunuz.

Apple'ın oturum açma işlevini kullanan siteler arasında Dropbox, Spotify ve Airbnb gibi hizmetler bulunuyor. Sorunu doğrulayan Apple, açığın şimdiye kadar kimse tarafından kullanılmadığını söylüyor.

Okuyucu Yorumları

İlk yorum yapan siz olun
Sen de yorum yaz

 

CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda
Apple Store
Google Play