Bir güvenlik araştırmacısı, Apple'ın diğer siteler üzerinden oturum açmaya izin veren sisteminde bulduğu açık sayesinde 100.000 dolar ödül kazandı.
Araştırmacı Bhavuk Jain, nisan ayında Apple'ın 2019'da kullanıma sunduğu "Sign in with Apple" işlevinde bir güvenlik açığı buldu. Bu işlev, kullanıcıların Apple hesap kimliğini kullanarak üçüncü parti uygulamalara oturum açmaya izin veriyor. Sorunu ödül programı için Apple'a gönderen Jain, 100.000 doları görünüşte çabucak kazandı. Elbette açıkları bulmak çoğu zaman uzun çalışmalar ve tecrübe gerektirebiliyor.
Açık, Apple'ın bu işlevini kullanan tüm üçüncü parti uygulamaları etkiliyor. Facebook ve Google'ın oturum açma hizmetlerine benzeyen işlevdeki açığın "üçüncü parti uygulamada hesabın tamamen ele geçirilmesine" yol açabiliyor. Üstelik bunun için kurbanın geçerli bir Apple ID'sine sahip olması da gerekli değil.
27 yaşındaki Jain, herhangi bir eposta kimliği için anahtar talep edebildiğini fark etti. Bunlar Apple'ın genel anahtarıyla doğrulandığında, geçerli olarak kabul ediliyordu. Bir başka deyişle herhangi birinin eposta adresine sahipseniz, bu kişinin üçüncü parti sitelerdeki hesabına girebiliyordunuz.
Apple'ın oturum açma işlevini kullanan siteler arasında Dropbox, Spotify ve Airbnb gibi hizmetler bulunuyor. Sorunu doğrulayan Apple, açığın şimdiye kadar kimse tarafından kullanılmadığını söylüyor.