Apple ID'lerde iki adımlı doğrulama dönemi başladı, ancak büyük güvenlik açığıyla.

Uzun yıllardır bankalar tarafından kullanılan iki adımlı doğrulama sistemi Google'dan sonra Apple tarafından da kullanılmaya başladı.Her birinde kredi kartı bilgilerinin bulunduğu 500 milyondan fazla Apple ID'nin kötü amaçlı kişiler tarafından çalınmasının önüne geçilirken; sistem beraberinde kısa süreli bir açığı da beraberinde getirdi.

İki adımlı doğrulama, Apple ID üzerinden yapılan her türlü işlemde kullanılabilmekte. Kullanıcılar, örneğin Mac App Store'dan yeni bir program satın aldıklarında, normalde şifrelerini girmeleri yeterliydi. Fakat iki adım doğrulama sisteminde kullanıcılar, Apple ID şifrelerini girdikten sonra ek olarak sisteme tanıtılan "güvenli cihazına" Apple tarafından SMS ile gönderilen ya da Find My iPhone üzerinde üretilecek ikinci güvenlik şifresini de girmeleri gerekiyor. Bu iki aşamanın güvenle tamamlanıp kullanıcının doğrulanmasıyla birlikte içeriğin ücreti kredi kartından temin ediliyor ve satın alım işlemi tamamlanıyor.

Tam Boyutta Gör

Sisteme "güvenilir" cihaz olarak kaydettirilen cihazın kaybedilmesi ya da şifrelerin tamamen unutulması durumlarına karşı ise Apple, kullanıcılara 14 haneli bir kurtarma şifresi veriyor. Kullanıcılar, bahsettiğimiz durumlarda, bu kurtarma şifresini kullanarak Apple ID hesaplarına yeniden giriş yapabiliyorlar. Apple olumsuz durumlara karşı bu kurtarma şifresinin mutlaka çıktısının alınıp çok güvenli bir yerde saklanması gerektiğini tavsiye ediyor. Öte yandan sadece kurtartma şifresinin kaybedilmesi durumunda My Apple ID sayfası üzerinden yeni bir şifre alabilmek mümkün.

İki adımlı doğrulamayı kullanmaya başlamak içinse My Apple ID adresi üzerinden hesabınıza giriş yaptıktan sonra "Password and Security" bölümü altında yer alan "Two Step Verification"'ı seçip ekrandaki talimatları takip ederek aktif hale getirmeniz gerekiyor. Öte yandan hesabınız iTunes Store Türkiye üzerinde gözüküyorsa, bir süre iki adımlı doğrulamayı kullanamayacaksınız. Çünkü bu güvenlik sistemi şu anda sadece ABD, İngiltere, Avustralya, İrlanda ve Yeni Zelanda'da kullanılabilir durumda. Fakat Apple'dan yapılan açıklamada diğer ülkelerde de sistemin kısa bir süre içerisinde kullanıma sunulacağı dile getirildi.

Sistem açıkla beraber geldi...

İki adımlı doğrulama sistemi, kötü amaçlı kişilerin hesapları çalması durumuna karşı geliştirilmiş etkin bir yöntem. Apple'ın da bu sisteme geçiş yapması bu açıdan oldukça iyi fakat, haberin başında da belirttiğimiz gibi, sistem kısa süreliğine bir açığı da beraberinde getirdi.

Sorun da tam bu noktada başlıyor. İlk olarak The Verge'in dile getirdiği açığa göre iki adımlı sistemi aktif etmek için şifrelerini değiştirip 3 günlük bekleme süresini tamamlamak isteyen kullanıcılar, ana şifrelerini "sadece Apple ID adreslerini ve doğum tarihlerini kullanarak" kolaylıkla sıfırlayabiliyor. The Verge ve iMore sitelerinin ilk elden doğruladıkları açıkta, üçüncü kişiler şifre sıfırlama aşamasında modifiyeli bir URL adresiyle kullanıcıların güvenlik sorularının bulunduğu kısımları tamamen atlayıp, direk doğrum yılı bölümüne ulaşıyor ve bu aşamayı da kullanıcının doğum tarihini bilmeleri ya da tahmin ederek geçmeleriyle ana şifreyi sıfırlayabiliyor.

Bu durumun ortaya çıkmasından ve haber olmasından hemen sonra Apple, hızlı bir şekilde iForgot sayfasını bakıma alarak sayfaya ulaşımı bir süreliğine kapattı. Yaklaşık 7 saat kapalı kalan iForgot, sabaha karşı tekrardan açılarak kullanıma sunuldu. Açığı birinci elden onaylayan iMore da iForgot'ın tekrar devreye girmesinden sonra yaptığı kontroller neticesinde ise Apple'ın bahsi geçen açığı kapattığını onayladı.

Bu haberi, mobil uygulamamızı kullanarak indirip,
istediğiniz zaman (çevrim dışı bile) okuyabilirsiniz: