Apple iCloud hesaplarının güvenliğini tehdit eden açık Türk yazılımcı Melih Sevim tarafından keşfedilmişti.
Apple, hizmetlerinde veya programlarındaki açıkları keşfeden kişilere ödül programlarıyla biliniyor. Türk yazılımcı Melih Sevim, iCloud’daki kritik bir hatayı firmaya bildirdikten sonra Apple iletişimi keserek hatayı sessizce kapattı. ABD’li teknoloji firması bu olayda adeta ödülün üzerine yattı.
Apple’ın bulut hizmeti iCloud’daki kritik bir hata Ocak ayının son günlerinde Türk yazılımcı Melih Sevim tarafından keşfedildi. Bu hatayı bulduktan sonra direkt firmaya ileten Sevim hatta video ile açıklayarak yayınladı. Apple’ın bu tür olaylarda açığı keşfeden kişilere belirli ödüller verdiği biliniyor.
ABD’li teknoloji firması Sevim’den açığın ne olduğunu tüm teknik detaylarıyla öğrendikten sonra kendisiyle iletişimi kesiyor. Sorunun ne olduğunu tamamen öğrenen Apple bir anda bu hatayı sessizce gideriyor. Daha sonrasında ise vereceklerini iddia ettikleri ödül hakkında da hiçbir gelişme olmadı. Ayrıca yabancı basında yer alan haberlere Apple tarafından hiçbir geri dönüş yapılmadı.
Melih Sevim iCloud servisindeki hatanın detaylarını donanımhaber.com sayfasında aşağıdaki şekilde paylaştı. Ayrıca YouTube'a da video olarak açığın nasıl meydana geldiğini yükledi.
“Geçtiğimiz sene Ekim ayının sonlarında, eski iphone telefonumun kurulumunu yaparken bir yazılım hatası fark ettim. Bunun sonucunda bu hatanın nereye varacağını merak ederek bulduğum açık üzerinde çalışmalara başladım. Çok teknik detaya girmeyeceğim fakat çalışmalar sonucunda elde ettiğim bulgu şu şekilde oldu,
Her hangi bir onay mekanizmasına takılmadan istediğim telefon numarasını, kendi icloud hesabımda kendi telefon numaram olarak ayarlayabiliyordum. Peki bu ne işe yarayacaktı?
Anlatımın net olması için 2 tane iCloud hesabına isim vermem gerekiyor.
Buglanan Hesap : Bulduğum yöntem ile başka birisinin telefon numasını bu hesaba giriyorum. Hesap bana ait.
Hedef Hesap : Telefon numarası bilinen kişinin hesabı.
İlk önce kafamdaki senaryoda bambaşka bir uygulama yapmak vardı fakat iCloud sitesine Buglanan hesap ile login olduğumda resmen gözlerime inanamadım. İlk başta bir yanlışlık var böyle bir şey olmaz diye düşündüm fakat durum apaçık ortadaydı. Hedef Hesaba ait iCloud verileri Buglanan Hesaba girdiğimde karşıma geldi. Apple, ancak amatör yazılımcıların yapacağı bir hata yapmış ve arka planda telefon numarası ile eşleştirme yapmıştı. Şimdi şunu hayal edin, sadece cep telefonu numarasını bildiğiniz bir ios kullanıcısının iCloud datalarına erişebiliyorsunuz ve karşı tarafın ruhu bile duymuyor. Ne 2 faktörlü doğrulama, ne bilinmeyen yerden giriş uyarısı çünkü siz aslında kendi hesabınıza giriyorsunuz. Riskin boyutunu tahmin edebildiğinizi düşünüyorum. Yaptığım 3-4 denemeden sonra sistemin ne zaman ve nasıl tam stabil çalıştığını tespit ederek bununla ne yapacağımı düşünmeye başladım.”
#Apple
#iCloud
#açık
#Melih Sevim