Proton, iOS Authenticator uygulamasında TOTP sırlarını açıkta kaydeden hatayı giderdi

Proton, geçen hafta kullanıma sunduğu yeni Authenticator uygulamasının iOS sürümünde tespit edilen bir güvenlik hatasını giderdi. Hata, uygulamanın günlük dosyalarında kullanıcıların çok faktörlü kimlik doğrulama (TOTP) sırlarını şifrelenmemiş şekilde kaydediyordu.

Proton Authenticator, Windows, macOS, Linux, Android ve iOS’ta çalışan, ücretsiz ve bağımsız bir iki faktörlü kimlik doğrulama uygulaması olarak tasarlandı. Uygulama, web siteleri ve uygulamalara girişte tek kullanımlık kodlar üretmek için gerekli TOTP sırlarını saklıyor.

Sorun, bir kullanıcının Reddit’te (daha sonra silinen) paylaşımıyla gündeme geldi. Kullanıcı, bazı 2FA girişlerinin kaybolduğunu fark edip hata raporu hazırlarken uygulama günlüklerinde tüm TOTP sırlarının açıkça göründüğünü keşfetti. Hatanın, iOS sürümünde TOTP girişine ait bilgilerin bir params değişkenine eklenmesi ve bu verilerin günlük kayıtlarına dahil edilmesinden kaynaklandığı belirlendi.

Proton, hatayı doğrulayarak iOS uygulamasının 1.1.1 sürümüyle App Store’da yayımlanan güncellemede düzeltildiğini açıkladı. Şirket, sırların hiçbir zaman sunucuya şifrelenmemiş olarak iletilmediğini, tüm senkronizasyonun uçtan uca şifrelemeyle yapıldığını ve günlüklerin yalnızca cihazda tutulduğunu belirtti.

Proton ayrıca, cihaz erişimi olan bir kişinin bu günlükleri görmese bile sırları elde edebileceğini, bu nedenle cihaz güvenliğinin kullanıcı sorumluluğunda olduğunu vurguladı. Uzaktan sömürülemeyen bu hata, günlük dosyalarının paylaşılması durumunda üçüncü taraflara erişim riski oluşturuyordu. Bu veriler başka bir kimlik doğrulayıcıya aktarılarak ilgili hesaplara giriş kodu üretilebilirdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI