Apple Bir Geliştiriciye “Apple ile Oturum Aç” Sisteminde Ciddi Bir Hata Bulduğu için 100.000 Dolar Ödedi.

Apple, geliştirici Bhavuk Jain’e, “Apple ile oturum aç” giriş sisteminde, kötü niyetli kişilerin belirli web sitelerinde ve uygulamalarda bir kullanıcının hesabını devralmasına izin verebilecek ciddi bir hata bulduğu için 100.000 ABD Doları ödül verdi.

Jain’e göre, hata, Apple’ın Apple ile Oturum Aç’ı kullanan kullanıcıları doğrulama şekliyle ilgiliydi. Şirket tarafından geçen yıl piyasaya sürülen ve Apple Kimlikleri ile kullanılabilen giriş hizmeti, Facebook ve Google gibi diğer giriş hizmetlerinin etkinleştirdiği izleme miktarını sınırlamak için tasarlanmıştır. Apple ile giriş yapmanın en büyük satış nedenlerinden biri, e-posta adresinizi üçüncü taraf uygulama veya hizmetinden gizleme özelliğidir.

Bir kullanıcıyı yetkilendirmek için Apple ile oturum açma sistemi, bir JWT (JSON Web Simgesi) veya Apple sunucuları tarafından oluşturulan bir kod kullanır. Apple, yetkilendirirken, Apple Kimliğini üçüncü taraf uygulamasıyla paylaşma veya gizleme seçeneği sunar. Kullanıcılar e-postalarını belirli bir uygulamayla paylaşmamayı seçerse, Apple bu hizmet için kullanıcıya özgü bir Apple e-posta kimliği oluşturur.

Başarılı bir yetkilendirmeden sonra, kullanıcının ne seçtiğine bağlı olarak Apple, e-posta kimliğini içeren bir JWT üretir. Bu kimlik daha sonra üçüncü taraf uygulaması tarafından bir kullanıcının oturum açması için kullanılır.

Hata burada devreye giriyor. Jain, Nisan ayında herhangi bir Apple e-posta kimliği için JWT talep edebileceğini bulduğunu söyledi.

“Bu belirteçlerin imzası Apple’ın ortak anahtarı kullanılarak doğrulandığında, geçerli olarak gösterildiler. Bu, bir saldırganın herhangi bir e-posta kimliğini ona bağlayarak ve kurbanın hesabına erişerek bir JWT’yi takabileceği anlamına gelir. ”

Hacker News’e göre Jain, Apple’ın kullanıcılardan yetkilendirme isteğini başlatmadan önce Apple hesaplarına giriş yapmalarını istemesine rağmen, aynı kişinin kimlik doğrulama sunucusundan sonraki adımda bir JWT talep edip etmediğini doğrulamamış olmasından kaynaklandı.

Güvenlik açığı, onu kullanan üçüncü taraf uygulamalarını etkiledi ve bu uygulamalar da kendi ek güvenlik önlemlerini uygulamadı.

Hacker News, kullanıcılar Apple e-posta kimliklerini üçüncü taraf hizmetlerinden gizlemeyi seçmiş olsa bile kötü niyetli aktörlerin bu güvenlik açığından yararlanabileceğini ve kurbanın Apple Kimliğiyle yeni bir hesap açmak için de kullanılabileceğini bildiriyor.

“Bu güvenlik açığının etkisi, hesabın tamamen ele geçirilmesine izin verebileceğinden oldukça kritikti. Birçok geliştirici, diğer sosyal girişleri destekleyen uygulamalar için zorunlu olduğu için Giriş Yap özelliğini Apple ile entegre etti. ”Dedi. “Bu uygulamalar test edilmedi, ancak bir kullanıcıyı doğrularken başka bir güvenlik önlemi olmasaydı hesabın ele geçirilmesine karşı savunmasız kalmış olabilir.

Bununla birlikte, Jain, Apple’ın bir soruşturma yürüttüğünü ve güvenlik açığı nedeniyle yanlış kullanım veya hesaptan ödün verilmediğini belirlediğini söyledi. Apple bu güvenlik açığını düzeltti.

Dünya şu anda bir karmaşa içinde olsa da, hala iyi çalışmalar olduğunu görmek güzel.

Leave a Reply

Your email address will not be published. Required fields are marked *