KiÅŸisel Verilerin Çalınmasında ‘PDF’ Detayı

STM, bu yılın ikinci çeyreÄŸini kapsayan Siber Tehdit Durum Raporu’nda günlük iÅŸlerin çoÄŸunun yapıldığı mobil cihazların güvenliÄŸini hedef alabilecek bazı saldırılara ve bunlara karşı geliÅŸtirilen önlemlere iliÅŸkin tespitlerde bulundu.

STM’nin teknolojik düşünce merkezi “ThinkTech”, nisan-haziran dönemini kapsayan yeni Siber Tehdit Durum Raporu’nu açıkladı.

13 konu baÅŸlığının yer aldığı raporda, günlük iÅŸlerin çoÄŸunun yapıldığı mobil cihazların güvenliÄŸini hedef alabilecek bazı saldırılara ve bunlara karşı geliÅŸtirilen önlemlere yer verildi.

Raporda, mobil cihazlardaki güvenlik uygulamalarına yönelik gerçek dünya saldırılarının büyük bir kısmının yan kanal analizi (Side Channel Analysis-SCA) yolunu izlediÄŸi belirtildi.

Söz konusu saldırılarda, bir çipin güç tüketimi, elektromanyetik yayılımları veya bir iÅŸlemcinin tepki süresi gibi fiziksel niceliklerinin Ã¶lçülüp, iÅŸlendiÄŸine dikkati çekilirken, giderek daha ucuz hale gelen iÅŸlem gücü sayesinde, güncel saldırılarda yan kanal analizi için ileri makine öğrenmesi ve derin öğrenme algoritmalarının kullanıldığı kaydedildi.

Bir yan kanal analiz tekniÄŸi olan TEMPEST’e deÄŸinilen raporda, akıllı telefonlardaki hareket sensörü aracılığıyla kullanıcının tuÅŸ vuruÅŸlarının bu yolla kolayca algılanabildiÄŸi, içeriÄŸi bir bilgisayardan veya baÅŸka bir ekrandan kolaylıkla saptanabildiÄŸi ifade edildi. Yan kanal analizi kullanılarak yapılan saldırıların, mobil cihazlar için büyük bir tehdit oluÅŸturduÄŸu vurgulandı.

PDF’LERDE GÜVENLİK AÇIĞIYLA KİŞİSEL BİLGİLER ÇALINABİLİYOR

STM raporunda, akademik makaleler, faturalar, kontratlar ve yazıların kolaylıkla paylaşıldığı, dünyada en yaygın kullanılan doküman alışveriÅŸi formatı PDF’nin (Portable Document Format) art niyetli kullanımı da ele alındı. Hem mobil hem de web ortamlarında kullanılabilen PDF’lere yönelik 4 farklı saldırı tipi incelendi. Bunlar şöyle sıralandı:

– Denial of Service (DoS) Saldırıları: PDF belgesinin açıldığı bilgisayarın kaynaklarını tüketen saldırılar,

– Bilgi Ä°fÅŸası Saldırıları: PDF belgesinin açıldığı bilgisayar ve sahibi hakkında bilgiler toplayan saldırılar,

– Veri Manipülasyonu Saldırıları: PDF belgesindeki ve belgenin açıldığı bilgisayardaki verileri deÄŸiÅŸtirebilen veya maskeleyebilen saldırılar,

– Kod Çalıştırma (Code Execution) Saldırıları: PDF belgesinin açıldığı bilgisayarda gizlice kod çalıştırabilen saldırılar.

Raporda bu saldırılara karşı alınabilecek önlemler de sıralandı. Buna göre, DoS saldırılarına sebebiyet veren sonsuz döngülere çözüm olarak PDF iÅŸleme standartlarının güncellenmesi, PDF formatı kendine referans verebilen objelerden arındırılması, standartların güncellenmesiyle içerik maskeleme saldırılarının da Ã¶nlenmesi gerektiÄŸi vurgulandı. Ayrıca raporda, PDF iÅŸleme araçlarının eriÅŸebilecekleri sistem kaynakları bakımından da kısıtlanması gerektiÄŸi, JavaScript tabanlı saldırı varyantlarının sıklığı sebebiyle PDF belgelerinin JavaScript’ten tamamen arındırılması ya da PDF belgelerinde kısıtlı miktarda JavaScript programlama kapasitesine eriÅŸim verilmesi gerektiÄŸi ifade edildi.

AKILLI TELEFONLARA YÖNELÄ°K YENÄ° SALDIRI METODU: “CHARGER-SURFÄ°NG”

Hava alanları, oteller, parklar, hastaneler gibi genel kullanıma açık alanlardaki ücretsiz veya ücretli ÅŸarj istasyonlarının sayısındaki artışa dikkati çekilen raporda, bu tür ÅŸarj alanlarındaki USB ara yüzlerinin saÄŸladıkları kolaylığa raÄŸmen, kullanıcının kontrolü altında olmadığından birçok tehlikeyi de beraberinde getirdiÄŸi kaydedildi.

Raporda, akıllı telefonların güç sızıntısından yararlanan yeni bir saldırı metodu olan Charger-Surfing’e iÅŸaret edilerek, dokunmatik ekranda oynatılan animasyonların konumunu ortaya çıkarmak ve kullanıcının parolası gibi hassas bilgileri çalmak için izlenen bu yöntemde, ÅŸarj olan bir akıllı telefonun güç izleri üzerinden sinyal iÅŸleme yardımıyla hangi düğmelere basıldığının belirlendiÄŸi belirtildi.

Saldırının gerçekleÅŸtirilmesi için, taşınabilir ve düşük maliyetli bir güç izi dinleme cihazının kullanıcıdan habersiz ÅŸekilde ÅŸarj istasyonuna yerleÅŸtirilmesinin yeterli olduÄŸu belirtilen raporda, bu yolla 4 basamaklı bir giriÅŸ parolasının yüzde 99,3, 6 basamaklı bir parolanın ise yüzde 96,9 doÄŸrulukla tespit edilebildiÄŸi kaydedildi.

Kaynak: milliyet.com.tr