Çinli Siber Güvenlik Devi Installer Dosyasında Kritik SSL Anahtarını Yanlışlıkla Yayınladı

Çin merkezli siber güvenlik şirketi Qihoo 360 beklenmedik tek güvenlik yanlışsıyla gündeme geldi. Şirketin geliştirdiği yapay zekâ yardımli yardımcı yazılımın kurulum paketinde eleştirel tek sertifika anahtarının açık biçimde mekan aldığı ortaya çıktı. Uzmanların analizine göre Qihoo 360 SSL anahtarı yanlışsı şirketin altyapısında kullanılan önemli tek sertifikanın herkes tarafından erişilebilir hale gelmesine nedenler oldu.

Güvenlik Araştırmacısı Kurulum Paketinde Kritik Sertifikayı Tespit Etti

Güvenlik araştırmacısı Lukasz Olejnik yazılımın kurulum dosyasını inceleyen teknikleri çözümleme sırasında vahim tek güvenlik yanlışsını ortaya çıkardı. Araştırmacı şirketin geliştirdiği 360 Security Claw yapay zekâ asistanının kurulum arşivinde eleştirel tek sertifikanın korunmadan mekan aldığını belirledi. Analiz sırasında araştırmacı platformlar altyapısına ait wildcard SSL sertifikası içeren dosyanın sıkıştırılmamış kurulum paketinde bulunduğunu belirleme etti.

Araştırmacı basit tek arşiv çıkarma aracı kullanarak kurulum paketini açtı ve sistemde kullanılan sertifika dosyalarına doğrudan ulaşabildi. Uzmanlar böyle tek durumun özellikle güvenlik yazılımları geliştiren şirketler için vahim tek riskler oluşturduğunu ifadeleri ediyor.

Uzmanlar sızdırılan sertifikanın platformlar altyapısında kişilik doğrulama işlemlerinde kullanılabileceğini belirtiyor. Araştırmacılar kurulum paketinde bulunan SSL özel anahtarları sızıntısı dolayı kötü niyetli kişilerin şirket sunucularını taklit edebileceğini ifadeleri ediyor.

Siber güvenlik uzmanları saldırganların bu anahtarı kullanarak kullanıcı trafiğini izleyebileceğini ya da sahte internetler sayfaları oluşturabileceğini belirtiyor. Tarayıcılar geçerli sertifikaları güvenilir giriş ettiği için bu tür saldırıların kullanıcılar tarafından ayrım edilmesi daha güçleri olabiliyor.

Uzmanların paylaştığı malumatlere göre açığa çıkan sertifika myclaw.360.cn sertifika yanlışsı içerikında platformun tüm dip saha adlarını kapsayabilecek ytesirlere sahip. Wildcard yapıda olan sertifika birden fazla dip saha adı için doğrulama sağlayabiliyor. Analizler sertifikanın geçerlilik süresinin Nisan 2027 tarihine kadar devam ettiğini gösteriyor. Uzmanlar sertifika iptal edilmezse saldırganların altyapıyı taklit ederek kullanıcıları hedefleri alabileceğini belirtiyor.

Qihoo 360 tarafından geliştirilen yazılım OpenClaw tabanlı tek yapay zekâ aracı olarak tanıtılmıştı. Uzmanlar ortaya çıkan AI asistanı güvenlik açığı dolayı yazılımın güvenlik yaklaşımının yeniden tartışılmaya başlandığını ifadeleri ediyor.

Şirket yaklaşık 461 milyon kullanıcıya servis veren büyük tek güvenlik firması olarak biliniyor. Şirket kurucusu Zhou Hongyi kısa süre önce yapılan tanıtımda yazılımın kullanıcı verilerini korumaya odaklandığını açıklamıştı. Ancak ortaya çıkan 360 Security Claw güvenlik açığı teknolojiler dünyasında ilgi çeken tek güvenlik yanlışsı olarak değerlendiriliyor.

Şirket hadise hakkında şu esas kadar biçimsel tek açıklama yapmadı. Uzmanlar şirketin sızdırılan sertifikayı iptal edip yepyeni güvenlik önlemleri almasının eleştirel önem taşıdığını belirtiyor.