Gerçek bir E Corp düşünün: Apple Güvenlik Ödülü Programı ve Apple Ürün Güvenliği

Merhaba,

Apple Ürün Güvenliği ve Apple Güvenlik ödülü hakkında bir yazı yazmayı çok istiyordum ancak ödevler, sınavlar, güvenlik araştırmasından dolayı maalesef pek vaktim yoktu. Bu konuda yabancı pek çok güvenlik araştırmacısı makale yazdı ancak ben biraz daha farklı bir şey yapmak istiyorum: Apple Ürün Güvenliği ve Apple Güvenlik Ödülü’nün artı-eksi yönleri ve deneyimlerimin yanı sıra diğer üreticilere kıyasla Apple ürünlerinde çok fazla 0-day açığı ortaya çıkmasının nedenlerini bir nevi öznel olarak açıklamış olacağım.

Öncelikle Apple Güvenlik Ödülü Programı’nın tarihçesine bir göz atalım:

Apple ilk başta Güvenlik Ödülü Programı’nı iOS Güvenliğini anlattığı herkese açık bir PDF dosyası üzerinden duyurdu fakat pek çok güvenlik araştırmacısının ödül programını geçtim, bu PDF’in varlığından bile haberi yoktu.

https://web.archive.org/web/20190812041336/https://www.apple.com/business/docs/site/iOS_Security_Guide.pdf sayfa : 87

Bu, çok çok az sayıda araştırmacının davet edildiği yalnızca iOS ve iCloud’u kapsayan private-only ödül programıydı.

https://www.youtube.com/watch?v=3byNNUReyvE

Ürün güvenliği konusunda PR yapan Apple’ın bu programı yalnızca iOS ve iCloud ile sınırlı tutması, Apple bilgisayar korsanları tarafından sürekli tepki görmesine neden oluyordu. Ayrıca Apple’ın Güvenlik Ödülü ilgili yaptığı bir haksızlık Twitter’da çok büyük yankı uyandırdı:

Amerika’da Fortnite oynarken arkadaşları ile FaceTime aracılığıyla iletişim kurmak isteyen 14 yaşındaki bir genç karşı taraf aramayı yanıtlamasa bile mikrofona erişilebildiğini şans eseri fark etti ve bunu Apple desteğe bildirdi ancak Apple destek bu konuda net bir sonuç üretememiş. Bunun üzerine bunu halka açık bir şekilde paylaştı. Bunun üzerine Apple, FaceTime’ı sunucu üzerinden sorunu düzeltene kadar devre dışı bıraktı. Bu olay o kadar çok ses getirmişti ki Twitter CEO’su Jack Dorsey bile bu konuda tweet atmıştı.

Bu olaydan sonra Apple’dan üst düzey yetkili bir kişi bu genci ziyaret etti, ödül ödedi, Apple güvenlik duyuruları sayfasında kredilendirdi, burs verdi.

Her güvenlik araştırmacısı ifşa edilmiş bir sorunun üretici firma tarafından ödüllendirilmeyeceği, çoğu zaman kredilendirilmeyeceğini bilir. Ayrıca bu sorun ifşa edilmese bile Apple Güvenlik Ödülü Programı’nda ki kategorilerin hiçbirine uymuyor. Burs konusuna gelecek olursak Apple her sene WWDC Burs programı düzenliyor. Bu program ile ilgili belirlediği yetenekli öğrencileri haziran ayında düzenlediği WWDC etkinliğine davet ediyor. Bu öğrencileri ise Swift dilinde yazdıkları bir Playground uygulaması ile belirliyor. Bu gencin yetenekli olup olmadığını tartışmaya gerek bile yok çünkü Google’ı kullanıp şu makaleye ulaşmayı bile düşünemiyor:

Bu olay ve Apple’ın genci bu şekilde ödüllendirmesi bilgisayar korsanları tarafından çok büyük tepkiye yol açtı.

Tüm bu olaylar yaşanırken yaşıtım, Apple’ın bilgisayar korsanlarından biri olan Linus Henze, macOS’de Anahtar Zinciri’ne yetkisiz erişmenin yolunu buluyor ve Apple’ın ödül programına tepki göstermek için ifşa ediyor.

Dünyanın en ünlü Apple haber sitesi 9to5mac bu konuyu gündeme getiriyor.

Bu haber üzerine Apple, Linus Henze ile iletişime geçiyor ve sorunun detaylarını talep ediyor. Henze, Apple’ın gönderdiği e-postaya yanıt olarak ödül programını dile getiriyor. Apple’ın sorunu ücretsiz olarak istemesini yine 9to5mac dile getiriyor.

Linus Henze ödülden vazgeçip müşteri güvenliği için sorunu Apple’a iletiyor ve HackerOne CEO’su, Henze teşekkür ediyor.

Bu iki olay ayrıca BBC’de de yer aldı.

https://www.bbc.com/news/technology-47169462

Bu olayların üzerinden uzun bir sürenin ardından Apple, herkese açık Güvenlik Ödülü Programı’nı duyurdu

https://www.youtube.com/watch?v=3byNNUReyvE

Güvenlik Ödülü sayfasına göre bu güvenlik programı Apple Pay hariç tüm ürünlerini kapsıyor. Ayrıca kullanıcılar üzerinde önemli etkisi olan tüm güvenlik sorunları, yayınlanan ödül kategorilerine uymasalar bile Apple Güvenlik Ödülü ödemesi için dikkate alınacak.

https://developer.apple.com/security-bounty/payouts/

Bunun yanı belirli betalarda bulduğunuz güvenlik zaafiyetleri %50 bonusla ödüllendirilecek.

Fakat bu yine Apple’ın güvenlik ile ilgili sorunlarını çözmüyor ve araştırmacıların fark ettikleri problemleri Apple’a bildirmesi için geçerli bir neden değil. Bunun belirli nedenleri var. Bu nedenler zero-day zaafiyetlerinin ortaya çıkmasına neden oluyor.

  1. Ciddi bir koordinasyon problemi var

Apple güvenlik zaafiyetlerini, araştırmacılardan e-posta aracılığı ile kabul ediyor. Bir güvenlik zaafiyetini Apple’a bildirdiğinizde gönderdiğiniz soruna bir Follow-up numarası atanır. Bu follow-up numarasının atanmasının ardından bir Apple yetkilisi gönderdiğiniz raporu inceler ve ardından bu sorunla ilgili bir karara varır size bir e-posta gönderir (“Raporunu inceledim. Sorunu araştırıyoruz.” gibi). E-Posta da ayrıca gönderdiğiniz sorun ile ilgili güncelleme talep edebileceğinizi belirtir ancak genellikle çoğu güncelleme talebinize yanıt vermezler. Ünlü Apple güvenlik araştırmacısı Csaba Fitzl’de buna blog yazısında değinmiş.

Çoğu şirket bildirdiğiniz güvenlik probleminin düzeltilmesinin ardından size ödülün yanı sıra teşekkürlerini halka açık bir şekilde sunmak için sizi kredilendirir. Apple’da kredilendirmeyi alabilmek genellikle tam bir sabır işi. Apple’a ilettiğiniz sorun yakında çıkacak bir güncellemede düzeltileceğinde size bir e-posta aracılığı ile sorunun düzeltileceğini ve kredilendirme bilgilerinizi almak için yakında sizinle iletişime geçeceğini söyler. Çok yüksek ihtimalle Apple güncellemenin çıkmasına yakın bir tarihte sizden kredilendirme bilginizi almak için sizinle iletişime geçmez. Takip edip, güncellemenin çıkacağı tarihi tahmin edip, çıkacağı tarihe yakın bir zamanda e-posta göndermeniz gerekir. Tabi zamanında cevap alabilirseniz şanslısınız.

Ayrıca Apple’ın güvenlik güncellemeleri sayfasını incelediğinizde çoğu güvenlik duyurusunda kredilerin altında çok fazla “Giriş eklenme tarihi/giriş güncellenme” yazısı görürsünüz. Bu şu anlama geliyor “Bu adamdan ya biz kredi bilgilerini geç istedik veya o bize kredilendirme bilgileri için e-posta attı ya da kredisini geç ekledik.” Neden? Cevap yok.

Bu kredilendirme mevzusuna şöyle bir örnek vereyim: iOS 14.0 çıktığında yani 16 Eylül’de düzeltilen bildirdiğim bir güvenlik sorunu için kredilendirmem 25 Şubat’ta eklendi.

https://support.apple.com/tr-tr/HT211850

2. Web servisleri hariç “Kullanıcılar üzerinde önemli etkisi olan tüm güvenlik sorunları, yayınlanan ödül kategorilerine uymasalar bile Apple Güvenlik Ödülü ödemesi için dikkate alınacaktır.” cümlesi büyük bir yalan

Apple’ın işletim sistemlerinde veya yazılımda bulduğunuz güvenlik sorunu Apple’ın Güvenlik Ödülü makalesinde listelediği kategorilerden birine uymuyorsa ve derdiniz sadece para kazanmaksa Apple’a iletmeyin. Örnek vereyim : Apple kendisine ilettiğim buffer overflow, Safari XSS, yerel yetki yükseltme zaafiyetlerine ödeme yapmayı yayınlanan kategorilerden birine uymadığı gerekçesiyle reddetti. Kendilerine “Kullanıcılar üzerinde önemli etkisi olan tüm güvenlik sorunları, yayınlanan ödül kategorilerine uymasalar bile Apple Güvenlik Ödülü ödemesi için dikkate alınacaktır.” cümlesini sorduğumda ise herhangi bir yanıt alamadım.

Başka bir araştırmacıdan örnek

3. Ödül Miktarı

Genellikle bildirdiğiniz bir sorunun ödüle uygun olup olmadığını, uygunsa ödenecek miktarın ne kadar olduğu ile ilgili bilgi almanız genellikle aylar sürer.

Bir araştırmacı sandbox escape açığı buluyor ancak ödeme konusu tam bir muamma.

Başka bir araştırmacı daha…

4. Ödülü Alma Süreci

Eğer bildirdiğiniz bir sorun için Apple size ödül ödeyecekse Apple developer hesabınız olması gerekiyor. Bunun için 99 dolar ödemelisiniz. Ardından bulduğunuz sorunları ifşa etmeyeceğinize, direk Apple’a ileteceğinize dair ve buna benzer maddelerin bulunduğu bir sözleşmeyi kabul ediyorsunuz. Ama 99 doları Apple size sonradan iade ediyor ama aradaki mail trafiğini, bekleme süresini az çok tahmin ediyorsunuzdur. Neden böyle saçma bir prosedürle uğraşıyoruz ki?

5. Apple Güvenlik Araştırma Cihazı

Apple, Apple Güvenlik Araştırma Cihazı Programı’nı (https://developer.apple.com/programs/security-research-device/) yayınladı.

Programın sayfasına göre, Apple’ın güvenlik taahhüdünün bir parçası olarak bu program, tüm iOS kullanıcıları için güvenliği artırmaya, iPhone’a daha fazla araştırmacı getirmeye ve zaten iOS güvenliği üzerinde çalışanlar için verimliliği artırmaya yardımcı olmak üzere tasarlanmıştır. Yalnızca güvenlik araştırmasına adanmış, benzersiz kod yürütme ve sınırlama politikalarına sahip bir iPhone içerir.Güvenlik Araştırma Cihazı Programına uygun olmak için şunları yapmalısınız:

1 ) Apple Geliştirici Programında üyelik hesabı sahibi olmak.
2 ) Apple platformlarında veya diğer modern işletim sistemlerinde ve platformlarında güvenlik sorunlarını bulma konusunda kanıtlanmış bir geçmişe sahip olmak.

İlk maddede bahsedildiği gibi bu cihazı alabilmek için yıllığı 99 dolar olan bir developer hesabına sahip olmalısınız. Bu da pek çok araştırmacı tarafından tepki gördü. Çünkü bu programın amacı müşteri güvenliğini sağlamaksa aksine araştırmacıları kendinden uzaklaştırmak yerine kendine çekmeli.

Ayrıca dünyanın en iyi güvenlik ekiplerinden birisi olan Project Zero takımı 90 gün politikasından dolayı bu cihazı edinemiyor. Project Zero’nun defalarca iPhone’u jailbreak etmenin yolunu bulduğunu hatırlatmak isterim.

Ayrıca Apple’ın en eski, en ünlü bilgisayar korsanlarından birisi olan ve iOS’i defalarca jailbreak etmiş olan Joshua Hill programdan reddedildi. Reddedilme nedeni iOS veya benzer bir platformda başarılı bir geçmişi olmaması 🤣😂.

Bu programa ayrıca dünyadan çoğu araştırmacı katılamıyor. Çünkü ülke sınırlaması var.

Bu arada bu aygıtta bulduğunuz her problemi Apple’a bildirme zorunluluğunuz olduğunu ve bildirmediğiniz takdirde hukuki bir yaptırımla karşı karşıya kalma ihtimaliniz olduğunu söylememe gerek yok sanırım.

Bu konuda şu yazıyı okumanızıda tavsiye ederim:

Ayrıca bir kaynağa göre Apple bir çok iOS araştırmacısının kullandığı Corellium platformunu 2018 de satın almak istedi (yıldan tam emin değilim). Ancak platform Apple’a satılmadı. Belli bir aranın ardından Apple platforma dava açtı. Bu da aynı şekilde Apple araştırmacılarının tepkisini topladı

6. Eğer öğrenciyseniz WWDC bursluluk kapsamında yetenekli öğrenci kabul edilmiyorsunuz.

Apple kendi sistemlerinde güvenlik açıkları bulan öğrencileri yetenekli olarak kabul etmiyor. Bu konuda güvenlik takımına 32 kredi için burs istediğime dair bir e-posta iletmiştim(şuan 64). Güvenlik takımı bunu uygun takıma ilettiğini söyledi ve bu konuda bir güncelleme sağlayamadığını belirtti. Bununla ilgili geliştirici ilişkilerine soru sorduğumda ise herhangi bir net cevap alamıyorum. Bu olayın üzerinden yaklaşık 2 yıl geçti. Bu arada yukarıdaki olayı hatırlayın 😁

Kendi ürünlerinin güvenliğini geliştirme konusunda çok fazla katkıda bulunduğum nedeniyle talepte bulunduğum muhtemelen bursu bana vermeyecek. Buna benzer bir olaya örnek:

Joshua Hill de ayrıca Apple’ın yaptığımız işi takdir etmediğini belirtiyor.

7. Apple açıkları diğer sistemlerdeki açıklarından daha ucuz

Pek çok araştırmacı bulduğu sorunları doğrudan Apple’a iletmek istemiyor. Genellikle 0-day şirketlerine satıyor ve ZDI gibi aracılarla iletiyor. Bunun en büyük nedeni Apple’a karşı güvensizlik ve Apple’ın araştırmacılara olan yaklaşımı. Yukarıda pek çok nedenden bahsettim. İllaki bunlar dışında da nedenleri olan vardır ama bunlar bu işin içerisinde aktif olan biri olarak benim gördüklerim. Bunların hepsini Apple’a geribildirim olarak ilettiğimi belirteyim. Apple uygun takımla paylaşmaya devam ediyoruz dedi ama bana pek umursayacaklar gibi gelmiyor.

Ayrıca Zerodium’un ödül programında Apple sistemleri için yaptığı ödemelere bakın ve diğer sistemler için ödemelere bakın. Sanırım bir açıklama yapmama gerek yok.

Zerodium’un attığı bir tweetinide bırakmak isterim:

8. Güvenlik açığına sahip cihazlar

Apple ürünlerinde iPhone X’e kadar olan cihazlarda BootROM’da checkm8 isimli güvenlik açığı mevcut. Bu güvenlik açığının düzeltilebilmesi için cihaza donanımsal olarak müdahalede bulunulması gerekiyor. Cihazlarda kronik herhangi bir sorun olduğunda tekrar servise çağıran ve değişim programı başlatan Apple, checkm8 için herhangi bir program başlatmadı ve stoğundaki ürünleri yenilemedi. Bilgisayar korsanları bu sorundan yararlanarak checkra1n isimli bir jailbreak aracı geliştirdi. checkra1n açığı birçok devlet kuruluşu için bulunmaz nimet değerinde. Özellikle cihazların ekran kilidini kırma konusunda bundan yararlanıyorlar.

Ayrıca bu güvenlik sorunu ile hırsızlara karşı koruma önlemi olan iPhone’umu bul özelliği kalıcı olarak olmasa da atlanabiliyor hatta cihaza istediğiniz bir işletim sistemini kurabiliyorsunuz. Şuradan Corellium’un iPhone 7+ için Android projesini görebilirsiniz

Ayrıca bu yazdıklarımı yurt dışında pek çok teknoloji editörüne ilettim. Kimisi yayınlamaya çekindi, kimisi cevap vermedi, kimisi ise bu konuyu sıkı takip ettiğini ek bir bilgi olursa mutlaka kendisiyle paylaşmamı istedi.

Kullanıcı güvenliği için çok çalışıyorum. Her zaman geribildirimlerinize açığım ve bunu önemsiyorum. Lütfen bana bir geribildirimde bulunmayı unutmayın. Yazımı şu fotoğraf ile sonlandırıyorum :) :

Kendinize iyi bakın.

20 Years Old | Computer Engineering Student | Linux/UNIX, Apple Developer | 64 Credits From Apple (for security issues/security developments) 🏆🎉

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store