Bir emniyet araştırmacısı, Apple'ın öteki siteler üzerinden oturum açmaya müsade veren sisteminde bulduğu açık doğruca 100.000 dolar ödül kazandı.

Araştırmacı Bhavuk Jain, nisan ayında Apple'ın 2019'da kullanıma sunduğu "Sign in with Apple" işlevinde bir güvenlik açığı buldu. Bu işlev, kullanıcıların Apple hesap kimliğini kullanarak üçüncü parti uygulamalara oturum açmaya müsade veriyor. Sorunu ödül programı için Apple'a gönderen Jain, 100.000 doları görünürde hızla kazandı. Şüphesiz açıkları bulmak çoğu süre uzun çalışmalar ve tecrübe gerektirebiliyor.

Açık, Apple'ın bu işlevini kullanan tüm üçüncü parti uygulamaları etkiliyor. Facebook ve Google'ın oturum açma hizmetlerine eş işlevdeki açığın "üçüncü parti uygulamada hesabın iyice ele geçirilmesine" yol açabiliyor. Üstelik bunun için kurbanın geçerli bir Apple ID'sine sahip olması da zorunlu yok.

27 yaşındaki Jain, herhangi bir eposta kimliği için anahtar talep edebildiğini fark etti. Bunlar Apple'ın genel anahtarıyla doğrulandığında, geçerli olarak kabul ediliyordu. Bir diğer deyişle herhangi birinin eposta adresine sahipseniz, bu kişinin üçüncü parti sitelerdeki hesabına girebiliyordunuz.

Apple'ın oturum açma işlevini kullanan siteler arasında Dropbox, Spotify ve Airbnb gibi hizmetler bulunuyor. Sorunu doğrulayan Apple, açığın şimdiye dek kimse göre kullanılmadığını söylüyor.