macOS’un Anahtar Zinciri Özelliğinde Korkutan Güvenlik Açığı

Geçtiğimiz ay Alman genç bir araştırmacı macOS’un Anahtar Zinciri özelliğinde önemli bir güvenlik açığı keşfettiğini söylemişti. Apple’ın macOS için bir hata bildirme ve ödüllendirme programı sunmamasından dolayı genç güvenlik açığıyla ilgili ayrıntıları paylaşmamıştı. Olayın büyük ses getirmesinin ardından genç Apple ile güvenlik açığının ayrıntılarını paylaştı.

Anahtar Zinciri Özelliğini Tehdit Eden Güvenlik Açığı: KeySteal

On sekiz yaşındaki Linus Henze, yukarıdaki videoda da gösterildiği gibi, Anahtar Zinciri uygulamasında depolanan tüm hassas verileri ortaya çıkarmak için kullanılabilecek olan macOS güvenlik açığını “KeySteal” olarak adlandırmış.

I’ve decided to submit my keychain exploit to @Apple, even though they did not react, as it is very critical and because the security of macOS users is important to me. I’ve sent them the full details including a patch. For free of course.

— Linus Henze (@LinusHenze) February 28, 2019

Henze, Şubat ayının başında videoyu yayınladıktan sonra, Apple’ın güvenlik ekibi kendisine ulaştığını ancak güvenlik araştırmacısı, güvenlik açıklarını keşfetmenin zaman alacağını öne sürerek ayrıntıları nakit bir ödül olmadan açıklamayacağını söyledi.

Henze, “Bu işi sadece para için yapıyorum gibi görünse bile bu benim motivasyonum değil” dedi. Genç araştırmacı “Motivasyonum Apple’ın bir hata ödül programı yaratmasını sağlamak. Bunun hem Apple hem de güvenlik araştırmacıları için en iyisi olduğunu düşünüyorum.” şeklinde konuştu.

Cupertino merkezli şirket, hataları keşfedenlere para ödülü verdiği bir iOS ödül programına sahip, ancak macOS hataları için benzer bir ödül programı bulunmuyor. macOS için yalnızca hataların bildirildiği bir alan bulunuyor. Bu alanın Henze gibi güvenlik araştırmacılarını tatmin etmediği görülüyor. Apple’ın gelecekte macOS için de iOS’a benzer bir ödül programını başlatması bekleniyor.