btbilgi

Teknoloji devi Apple uzun süredir işletim sistemlerinde ve cihazlarında bulunacak güvenlik açıklarını keşfedenlere ödüller veriyor. Apple Security Bounty programı aracılığıyla bildirilen en yeni güvenlik açığı, araştırmacı Bhavuk Jain’e tam 100 bin dolarlık maddi ödül kazandırmış. Jain üçüncü taraf kullanıcı hesaplarının ele geçirilmesine yol açabilecek ciddi bir sorunu bulup Apple’a bildirmiş.

Hacker News sitesinin verdiği bilgiye göre, araştırmacının bulduğu güvenlik açığı ‘Sign in with Apple’ (Apple ile oturum aç) özelliğinde bulunuyormuş. Bu uygulama geliştirici özelliği sayesinde kullanıcıların Apple kimlikleri ile çeşitli hizmetlerde oturum açabiliyorlar. Apple kimliği ile oturum açma, üçüncü parti sitelerin ve uygulamaların girişinde kullanıcı gizliliğini artırmak için Apple ID ile çift faktörlü kimlik doğrulama işlemlerini devreye sokmakta.

Araştırmacı Jain’in keşfettiği açık yüzünden kötü niyetli kişiler sadece kurbanın e-posta kimliğini bularak, Apple’ın kimlik doğrulama mekanizmalarını atlatarak üçüncü taraf kullanıcı hesaplarını ele geçirebiliyorlar. Bu hatanın, Apple’ın istemci tarafındaki kullanıcı kimlik doğrulama isteklerini ele alış yaklaşımı seebi ile ortaya çıktığı rapor ediliyor.

Jain bir blog yazısında güvenlik açığı hakkında ayrıntılı bilgi vermiş. Buna göre kullanıcılar bir JSON Web Simgesi (JWT) veya bir sunucu tarafından oluşturulan bir kod aracılığıyla Apple tarafından doğrulanabiliyorlar. Kullanıcılar kimlik doğrulama işlemi sırasında e-posta kimliklerini üçüncü tarafla paylaşmayabiliyorlar. Bu durumda Apple gerekli bilgileri kapsayan bir JWT Simgesi oluşturuyor. Bu simge de üçüncü tarafın kullanıcı kimliğini doğrulayabilmesi için kullanılıyor. Açık yüzünden bir kişi Apple’dan herhangi bir e-posta kimliği için JWT talep edebilmekte. Böylece bir siber saldırganlar herhangi bir e-posta adresini kullanarak sahte bir JWN Simgesi alıp, bunu kurbanın hesabına erişmek için kullanıyor.

Apple güvenlik açığı araştırmacıya 100 bin dolar kazandırdı

Apple bu açık raporunu geçtiğimiz ay içine aldıktan sonra sunucu kayıtlarını kontrol etmiş. Açığın siber suçlular tarafından aktif şekilde değerlendirildiğine dair bir iz bulunamamış. Şu anda yamalanmış olan açığın, aynı zamanda iCloud hesaplarının ihlali için de işe yarayabileceği tahmini yapılmakta. Jain’in daha önce Bumble, Zomato, Udemy ve Verizon Media platformlarında çeşitli güvenlik açıkları yakaladığı ve firmalarına raporladığı bilgisi de ayrıca veriliyor.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.