Ana SayfaAppleApple Sistem Açığı Bulan Geliştiriciye 100.000$ Ödedi

Apple Sistem Açığı Bulan Geliştiriciye 100.000$ Ödedi

Apple, “Apple ile Oturum Aç” sisteminde ciddi hata bulan geliştiriciye 100.000$ ödedi.

Apple, geliştirici Bhavuk Jain’e, “Apple ile oturum aç” giriş sisteminde, kötü niyetli kişilerin belirli web sitelerinde ve uygulamalarda bir kullanıcının hesabını kaybetmesine izin verebilecek ciddi bir hata bulduğu için 100.000 ABD Doları ödül verdi.

Jain’e göre hata, Apple’ın Apple ile Oturum Aç’ı kullanan kullanıcıları doğrulama şekliyle ilgili. Şirket tarafından geçen yıl piyasaya sürülen ve Apple Kimlikleri ile kullanılabilen giriş hizmeti, Facebook ve Google gibi diğer giriş hizmetlerinin etkinleştirdiği izleme miktarını sınırlamak için tasarlandı. Apple ile giriş yapmanın en büyük satış noktalarından biri, e-posta adresinizi üçüncü taraf uygulama veya hizmetinden gizleme özelliği.

Sistem nasıl işliyor?

Bir kullanıcıyı yetkilendirmek için Apple ile oturum açarken, bir JWT (JSON Web Simgesi) veya Apple sunucuları tarafından oluşturulan bir kod kullanır. Apple, yetkilendirirken Apple Kimliğini üçüncü taraf uygulamasıyla paylaşma veya gizleme seçeneği sunar. Kullanıcılar e-postalarını belirli bir uygulamayla paylaşmamayı seçerse, Apple bu hizmet için kullanıcıya özgü bir Apple e-posta kimliği oluşturuyor.

Başarılı bir yetkilendirmeden sonra, kullanıcının ne seçtiğine bağlı olarak Apple, e-posta kimliğini içeren bir JWT üretir. Bu kimlik daha sonra üçüncü taraf uygulaması tarafından bir kullanıcının oturum açması için kullanılır.

Peki sorun nerede başlıyor?

Hata burada devreye giriyor. Jain, Nisan ayında herhangi bir Apple e-posta kimliği için JWT talep edebileceğini bulduğunu söyledi.

“Bu belirteçlerin imzası Apple’ın ortak anahtarı kullanılarak doğrulandığında, geçerli olarak gösterildiler. Bu bir saldırganın herhangi bir e-posta kimliğini ona bağlayarak ve kurbanın hesabına erişerek bir JWT’yi etkinlenştirebileceği anlamına gelir. ”

Hacker News’e göre Jain, Apple’ın kullanıcılardan yetkilendirme isteğini başlatmadan önce Apple hesaplarına giriş yapmalarını istemesine rağmen, aynı kişinin kimlik doğrulama sunucusundan sonraki adımda bir JWT talep edip etmediğini doğrulamamış olmasından kaynaklanıyor.

Güvenlik açığı, onu kullanan üçüncü taraf uygulamalarını etkiledi ve kendi ek güvenlik önlemlerini uygulamadı.

Hacker News, kullanıcılar Apple e-posta kimliklerini üçüncü taraf hizmetlerinden gizlemeyi seçmiş olsa bile kötü niyetli aktörlerin bu güvenlik açığından yararlanabileceğini ve kurbanın Apple Kimliğiyle yeni bir hesap açmak için de kullanılabileceğini bildiriyor.

Jain şu şekilde devam ediyor: “Bu güvenlik açığının etkisi, hesabın tamamen ele geçirilmesine izin verebileceğinden dolayı oldukça kritik. Birçok geliştirici, diğer sosyal girişleri destekleyen uygulamalar için zorunlu olduğundan dolayı “Giriş Yap” özelliğini Apple ile entegre etti. Bu uygulamalar test edilmedi, ancak bir kullanıcıyı doğrularken başka bir güvenlik önlemi olmasaydı hesabın ele geçirilmesine karşı savunmasız kalmış olabilir.”

Bununla birlikte Jain, Apple’ın bir soruşturma yürüttüğünü ve güvenlik açığı nedeniyle yanlış kullanım veya hesaptan ödün verilmediğini belirlediğini söyledi. Çeşitli kaynaklara göre Apple bu güvenlik açığını düzeltti.

Dünya şu anda kaosta olsa da hala bazı şeylerin rayına oturtulmak için çaba gösterilmesi bizi umutlandırıyor.

BENZER HABERLER

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz

spot_img
1,220BeğenenlerBeğen
2,078TakipçilerTakip Et
1,340TakipçilerTakip Et

SON HABERLER