Kişisel Verilerin Çalınmasında ‘PDF’ Detayı

STM, bu yılın ikinci çeyreğini kapsayan Siber Tehdit Durum Raporu’nda günlük işlerin çoğunun yapıldığı mobil cihazların güvenliğini hedef alabilecek bazı saldırılara ve bunlara karşı geliştirilen önlemlere ilişkin tespitlerde bulundu.

STM’nin teknolojik düşünce merkezi “ThinkTech”, nisan-haziran dönemini kapsayan yeni Siber Tehdit Durum Raporu’nu açıkladı.

13 konu başlığının yer aldığı raporda, günlük işlerin çoğunun yapıldığı mobil cihazların güvenliğini hedef alabilecek bazı saldırılara ve bunlara karşı geliştirilen önlemlere yer verildi.

Raporda, mobil cihazlardaki güvenlik uygulamalarına yönelik gerçek dünya saldırılarının büyük bir kısmının yan kanal analizi (Side Channel Analysis-SCA) yolunu izlediği belirtildi.

Söz konusu saldırılarda, bir çipin güç tüketimi, elektromanyetik yayılımları veya bir işlemcinin tepki süresi gibi fiziksel niceliklerinin ölçülüp, işlendiğine dikkati çekilirken, giderek daha ucuz hale gelen işlem gücü sayesinde, güncel saldırılarda yan kanal analizi için ileri makine öğrenmesi ve derin öğrenme algoritmalarının kullanıldığı kaydedildi.

Bir yan kanal analiz tekniği olan TEMPEST’e değinilen raporda, akıllı telefonlardaki hareket sensörü aracılığıyla kullanıcının tuş vuruşlarının bu yolla kolayca algılanabildiği, içeriği bir bilgisayardan veya başka bir ekrandan kolaylıkla saptanabildiği ifade edildi. Yan kanal analizi kullanılarak yapılan saldırıların, mobil cihazlar için büyük bir tehdit oluşturduğu vurgulandı.

PDF’LERDE GÜVENLİK AÇIĞIYLA KİŞİSEL BİLGİLER ÇALINABİLİYOR

STM raporunda, akademik makaleler, faturalar, kontratlar ve yazıların kolaylıkla paylaşıldığı, dünyada en yaygın kullanılan doküman alışverişi formatı PDF’nin (Portable Document Format) art niyetli kullanımı da ele alındı. Hem mobil hem de web ortamlarında kullanılabilen PDF’lere yönelik 4 farklı saldırı tipi incelendi. Bunlar şöyle sıralandı:

– Denial of Service (DoS) Saldırıları: PDF belgesinin açıldığı bilgisayarın kaynaklarını tüketen saldırılar,

– Bilgi İfşası Saldırıları: PDF belgesinin açıldığı bilgisayar ve sahibi hakkında bilgiler toplayan saldırılar,

– Veri Manipülasyonu Saldırıları: PDF belgesindeki ve belgenin açıldığı bilgisayardaki verileri değiştirebilen veya maskeleyebilen saldırılar,

– Kod Çalıştırma (Code Execution) Saldırıları: PDF belgesinin açıldığı bilgisayarda gizlice kod çalıştırabilen saldırılar.

Raporda bu saldırılara karşı alınabilecek önlemler de sıralandı. Buna göre, DoS saldırılarına sebebiyet veren sonsuz döngülere çözüm olarak PDF işleme standartlarının güncellenmesi, PDF formatı kendine referans verebilen objelerden arındırılması, standartların güncellenmesiyle içerik maskeleme saldırılarının da önlenmesi gerektiği vurgulandı. Ayrıca raporda, PDF işleme araçlarının erişebilecekleri sistem kaynakları bakımından da kısıtlanması gerektiği, JavaScript tabanlı saldırı varyantlarının sıklığı sebebiyle PDF belgelerinin JavaScript’ten tamamen arındırılması ya da PDF belgelerinde kısıtlı miktarda JavaScript programlama kapasitesine erişim verilmesi gerektiği ifade edildi.

AKILLI TELEFONLARA YÖNELİK YENİ SALDIRI METODU: “CHARGER-SURFİNG”

Hava alanları, oteller, parklar, hastaneler gibi genel kullanıma açık alanlardaki ücretsiz veya ücretli şarj istasyonlarının sayısındaki artışa dikkati çekilen raporda, bu tür şarj alanlarındaki USB ara yüzlerinin sağladıkları kolaylığa rağmen, kullanıcının kontrolü altında olmadığından birçok tehlikeyi de beraberinde getirdiği kaydedildi.

Raporda, akıllı telefonların güç sızıntısından yararlanan yeni bir saldırı metodu olan Charger-Surfing’e işaret edilerek, dokunmatik ekranda oynatılan animasyonların konumunu ortaya çıkarmak ve kullanıcının parolası gibi hassas bilgileri çalmak için izlenen bu yöntemde, şarj olan bir akıllı telefonun güç izleri üzerinden sinyal işleme yardımıyla hangi düğmelere basıldığının belirlendiği belirtildi.

Saldırının gerçekleştirilmesi için, taşınabilir ve düşük maliyetli bir güç izi dinleme cihazının kullanıcıdan habersiz şekilde şarj istasyonuna yerleştirilmesinin yeterli olduğu belirtilen raporda, bu yolla 4 basamaklı bir giriş parolasının yüzde 99,3, 6 basamaklı bir parolanın ise yüzde 96,9 doğrulukla tespit edilebildiği kaydedildi.

Kaynak: milliyet.com.tr