Apple Touch ID Hatası iCloud Hesaplarının Ele Geçirilmesine İzin Verebilir!

Apple Touch ID Hatası iCloud Hesaplarının Ele Geçirilmesine İzin Verebilir!

30
0
@Oğuzhan ÇALIŞKAN

Şubat ayında BT güvenlik firması Computest’te bir güvenlik uzmanı olan Thijs Alkemade tarafından; Apple’ın, kullanıcıların özellikle Apple ID girişlerini kullanan kullanıcıların Safari tarayıcı üzerinden web sitelerine giriş yapmayı sağlayan TouchID (veya FaceID) biyometrik özelliği uygulamasında güvenlik açığının olduğunu belirledi. Bu sorunun temel sebebi aslında bir kimlik doğrulama hatası.

Kullanıcılar Apple Kimliği gerektiren bir web sitesinde oturum açmaya çalıştığında, Touch ID’yi kullanarak girişin kimliğini doğrulamak için bir istem görüntülenir. Bunu yapmak, iki faktörlü kimlik doğrulama adımını atlatır, çünkü cihaz ve biyometrik bilgiler tanımlama için bir doğrulama kombinasyonunu zaten kullanır . Ancak bir kullanıcının TouchID kullanılarak doğrulanması durumunda, iframe, biyometrik kimlik doğrulamayı işlemek ve ardından icloud.com tarafından kullanılan bir jetonu (“grant_code”) almak için AuthKit arka plan programı (akd) ile iletişim kurması bakımından farklı şekilde ele alınır. Giriş işlemine devam etmek için sayfa.Bunu yapmak için, arka plan programı, gsa.apple.com adresinde, isteğin ayrıntılarını gönderdiği ve jetonu aldığı bir API ile iletişim kurar. Computest tarafından keşfedilen güvenlik açığı, yukarıda belirtilen gsa.apple.com API’sinde bulunur ve bu, kimlik doğrulaması olmadan bir istemci kimliğini doğrulamak için bu alan adlarının kötüye kullanılmasını teorik olarak mümkün kılar.

Apple’ın kimlik doğrulama altyapısında ilk kez güvenlik açığı tespit edilmiyor. Mayıs ayında Apple, saldırganların uzaktan erişim ile kimlik doğrulamasını atlamasını ve Apple’ın imzasını kullanarak kaydedilen üçüncü taraf hizmetlerinde ve uygulamalarda hedeflenen kullanıcıların hesaplarını devralmasını mümkün kılabilecek “Apple ile oturum aç” sistemini etkileyen bir kusuru geçmiş tarihlerde zaten düzeltmişti.

Bu makaleyi okumaktan hoşlandınız mı? Facebook sayfamızı beğenin ve Twitter‘da bizi takip edin .

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir