STM Raporu: Şarj üniteleri akıllı telefonlardan bilgi sızdırabilir
Türkiye’de siber güvenlik alanında önemli projelere ve yerli ürünlere imza atan STM’nin Teknolojik Düşünce Merkezi “ThinkTech”, Nisan-Haziran 2021 tarihlerini kapsayan yeni Siber Tehdit Durum Raporu’nu açıkladı. Raporda, iş hayatında neredeyse her gün kullanılan PDF dokümanlarının nasıl art niyetli kullanılabileceğine, güç kablolarıyla akıllı telefonlardan bilgi sızdırma tehlikesine ve ekran parlatma saldırısı ile mobil cihazlarda ekran okuması yapıldığına dikkat çekildi.
Bu yılın ikinci çeyreğini kapsayan STM ThinkTech’in raporunda 13 konu başlığı bulunuyor. Raporda, günlük işlerin çoğunu yaptığımız mobil cihazların güvenliğini hedef alabilecek bazı saldırılara ve bu saldırılara karşı geliştirilen önlemlere yer verildi.
Yan kanal analizi saldırıları, mobil cihazlar için büyük tehdit
Raporda, mobil cihazlardaki güvenlik uygulamalarına yönelik gerçek dünya saldırılarının büyük bir kısmının yan kanal analizi (Side Channel Analysis – SCA) yolunu izlediği belirtildi. Söz konusu saldırılarda, bir çipin güç tüketimi, elektromanyetik yayılımları veya bir işlemcinin tepki süresi gibi fiziksel niceliklerinin ölçülüp, işlendiğine dikkat çekilirken, giderek daha ucuz hale gelen işlem gücü sayesinde, güncel saldırılarda yan kanal analizi için ileri makine öğrenmesi ve derin öğrenme algoritmalarının kullanıldığı kaydedildi. Bir yan kanal analiz tekniği olan TEMPEST’e değinilen raporda, akıllı telefonlardaki hareket sensörü aracılığıyla kullanıcının tuş vuruşlarının bu yolla kolayca algılanabildiği, içeriği bir bilgisayardan veya başka bir ekrandan kolaylıkla saptanabildiği ifade edildi. Yan kanal analizi kullanılarak yapılan saldırıların, mobil cihazlar için büyük bir tehdit oluşturulduğu vurgulandı.
PDF’lerde güvenlik açığı: Kişisel bilgileriniz çalınabilir
STM raporunda, akademik makaleler, faturalar, kontratlar ve yazıların kolaylıkla paylaşıldığı, dünyada en yaygın kullanılan doküman alışverişi formatı, PDF’nin (Portable Document Format) art niyetli kullanımını da ele alındı. Yapılan bir çalışmada, hem mobil hem de web ortamlarında kullanılabilen PDF’lere yönelik, 4 farklı saldırı tipi incelendi. Bunlar;
- Denial of Service (DoS) Saldırıları: PDF belgesinin açıldığı bilgisayarın kaynaklarını tüketen saldırılar.
- Bilgi İfşası Saldırıları: PDF belgesinin açıldığı bilgisayar ve sahibi hakkında bilgiler toplayan saldırılar.
- Veri Manipülasyonu Saldırıları: PDF belgesindeki ve belgenin açıldığı bilgisayardaki verileri değiştirebilen veya maskeleyebilen saldırılar.
- Kod Çalıştırma (Code Execution) Saldırıları: PDF belgesinin açıldığı bilgisayarda gizlice kod çalıştırabilen saldırılar.
Raporda bu saldırılara karşı alınabilecek önlemler de sıralandı. Buna göre, DoS saldırılarına sebebiyet veren sonsuz döngülere çözüm olarak PDF işleme standartları güncellenmeli, PDF formatının kendine referans verebilen objelerden arındırılmalı. Standartların güncellenmesiyle içerik maskeleme saldırıları da önlenmeli. PDF işleme araçları, erişebilecekleri sistem kaynakları bakımından da kısıtlanmalı. JavaScript tabanlı saldırı varyantlarının sıklığı sebebiyle, PDF belgeleri JavaScript’ten tamamen arındırılmalı ya da PDF belgelerinde kısıtlı miktarda JavaScript programlama kapasitesine erişim verilmelidir.
Akıllı telefonlara yönelik yeni bir saldırı metodu: Charger-Surfing
Hava alanları, oteller, parklar, hastaneler gibi genel kullanıma açık alanlardaki ücretsiz veya ücretli şarj istasyonlarının sayısında artış yaşanıyor. Bu tür şarj alanlarındaki USB arayüzleri sağladıkları kolaylığa rağmen, kullanıcının kontrolü altında olmadığından birçok tehlikeyi de beraberinde getiriyor. Raporda,
akıllı telefonların güç sızıntısından yararlanan yeni bir saldırı metodu olan Charger-Surfing, mercek altına alındı. Rapora göre, dokunmatik ekranda oynatılan animasyonların konumunu ortaya çıkarmak ve kullanıcının parolası gibi hassas bilgileri çalmak için izlenen bu yöntemde, şarj olan bir akıllı telefonun güç izleri üzerinden sinyal işleme yardımıyla, hangi düğmelere basıldığı belirleniyor. Saldırının gerçekleştirilmesi için, taşınabilir ve düşük maliyetli bir güç izi dinleme cihazının kullanıcıdan habersiz şekilde şarj istasyonuna yerleştirilmesi yeterli oluyor. Yapılan bir çalışmada, bu yolla dört basamaklı bir passcode yüzde 99,3, altı basamaklı bir passcode ise yüzde 96,9 doğrulukla tespit edildi.
Rapora Erişim Linki: https://thinktech.stm.com.tr/detay.aspx?id=421