Apple’dan Kimlik Doğrulama Sisteminde Açık Bulan Beyaz Şapkalı Hacker’a 100 Bin Dolar

Apple, geçtiğimiz yıl Haziran ayında düzenlenen geliştirici konferansında (WWDC 19) duyurduğu “Sign in with Apple” (Apple ile birlikte giriş yap) hizmetini daha pratik ve güvenli bir sistem ifadeleriyle duyurmuştu. Teknoloji şirketi kendine özgü güvenli sisteme giriş yöntemi ile Apple kullanıcılarının profil bilgilerinin uygulamalarında kullanılmayacağını belirtmişti. Ek olarak sosyal medya hesapları ile yapılan kimlik doğrulamasını bir kenara iten “Sign in with Apple“, kullanıcı verilerinin farklı teknoloji şirketleri tarafından toplanmasına da mani olmuştu.

“Sign in with Apple”, Facebook ve Google’ın web sayfaları ve uygulamalara giriş ya da kayıt olmak için sunduğu sistemlere kıyasla gizliliği daha yoğun şekilde öne çıkarıyor. Kullanıcıların bir hesap açarken veya hesaba giriş sırasında kullandıkları bilgiler Sign in with Apple API (uygulama programlama arayüzü) aracılığı ile en aza indirgenirken, söz konusu verilerin Facebook ve Google gibi şirketler tarafından takip edilmesi de zorlaşıyor.

Her ne kadar Apple gizliliğe odaklanmış olsa da bir güvenlik araştırmacısı Sign in with Apple sisteminde sıfır-gün zafiyeti ortaya çıkardı. Güvenlik zafiyeti siber korsanların Apple’a ait olmayan bir uygulama aracılığı ile kullanıcı hesaplarına erişimine neden olabilirdi.

Güvenlik açığını keşfederek Apple’dan 100.000 dolar ödül alan beyaz şapkalı hacker, söz konusu zafiyetin kullanıcı hesabını kontrol etme ve istenen değişikliği yapma imkânı verdiğini de belirtti.

Sign in with Apple nasıl çalışıyor?

Sign in with Apple, standart bir veri değişimi aracı JSON Web Token (JWT) veya Apple sunucuları tarafından üretilen bir kod ile çalışıyor. Kod, JWT bulunmadığı takdirde kullanılan alternatif olarak beliriyor. Kullanıcılar Apple’a ait olmayan bir uygulama veya web hizmetine giriş yaptıkları zaman Apple E-posta kimliklerini paylaşabiliyor veya saklamak isterlerse kendilerine özgü bir yedek e-posta kimliği kullanabiliyorlar.

Kimlik başarıyla doğrulandıktan sonra Apple e-posta kimliğini içeren bir JWT oluşturuyor. JWT, Apple’a ait olmayan uygulama tarafından kullanıcı girişi sağlamak için kullanılıyor.

Beyaz şapkalı hacker tarafından yapılan inceleme, herhangi bir e-posta kimliği tarafından JWT talebi yapılabileceğini ortaya çıkardı. JWT imzası Apple’ın ortak anahtarı ile doğrulandığında, geçerli hale geliyor. Böylece bir siber korsan bir JWT oluşturarak hedef belirlediği kullanıcının hesabına girebiliyor.

Herhangi bir saldırı tespit edilmedi

Apple tarafından yapılan analizlerde, beyaz şapkalı hacker tarafından ortaya çıkarılan sıfır-gün saldırısının çok sayıda uygulama ile kullanılabileceği anlaşıldı. Öte yandan yapılan soruşturmalar güvenlik zafiyetinin bugüne dek herhangi bir saldırıda kullanılmadığına işaret etti.

Beyaz şapkalı hacker, tespit ettiği güvenlik açığını bildirmesinin ardından Apple’ın “bug bounty” programı kapsamında belirlenen 100.000 dolarlık ödülün sahibi oldu. Teknoloji şirketinin bildirilen güvenlik zafiyetini bir yama ile düzelttiği bildirilirken güncellemenin nasıl yapıldığına dair detay verilmedi.