Akıllı cep telefonlarının en kötü tarafı şüphesiz şarj sorunu. Cihazınızı havaalanları, kafeler, parklar ve toplu taşıma araçlarında bulunan ve herkesin kullanımına açık şarj noktalarına bağladığınızda akıllı telefonunuzun ve verilerinizin ne kadar güvende olduğunu hiç merak ettiniz mi? Mobil cihazınız şarj olurken bu şarj noktaları ile ne ve ne kadar veri alışverişinde bulunuyor biliyor musunuz? Bunu merak eden Kaspersky Lab araştırmacıları, bu soruların cevaplarını bulmak için bir araştırma yaptı.
Kaspersky Lab uzmanları deneylerinde, akıllı telefonların bilgisayara bağlı standart bir USB bağlantısı ile şarj edildiklerinde tehlikeye girebileceklerini keşfetti. Araştırmacılar şimdi, böyle bir durumda etkilerin neler olabileceğini değerlendiriyor.
Bu araştırmanın bir parçası olarak şirketin uzmanları, cihaz şarj amacıyla bir PC’ye veya Mac’e bağlandığında cihazın harici olarak hangi veri transferlerinde bulunduğunu anlamak için çeşitli Android sürümleri ve iOS işletim sistemleri ile çalışan bir dizi akıllı telefonu test etti. Test sonuçları ‘el sıkışması’ (cihaz ile bağlı olduğu PC/Mac arasındaki tanışma işlemi) esnasında, cihaz tarafından cihaz adı, cihaz üreticisi, cihaz türü, seri numarası, işletim sistemi bilgisi, dosya sistemi/dosya listesi, elektronik çip kimliği dahil bir sürü verinin teşhir edildiğini ortaya koydu. El sıkışma sırasında gönderilen veri miktarı cihaza ve ana bilgisayara bağlı olarak değişmekle birlikte tüm akıllı telefonların transfer ettiği standart bazı bilgiler bulunuyor; cihaz adı, üretici, seri numarası vb. gibi.
Kaspersky Lab uzmanlarına göre, akıllı telefonlar hemen hemen her zaman sahibine eşlik ettiğinden ötürü, daha sonra kullanmak amacıyla bu tür verileri toplamak isteyen herhangi bir üçüncü taraf için benzersiz bir tanımlayıcı olarak hizmet ediyor. Bir saldırganın bilinmeyen bir bilgisayara veya şarj cihazına bağlı bir cihaz ile tek yapabileceği birkaç benzersiz tanımlayıcıyı toplamak olsaydı bir sorun olmazdı.
ŞARJA TAKILI BİR TELEFONA GİZLİCE UYGULAMA YÜKLENEBİLİYOR
2014 yılında, Black Hat konferansında, bir cep telefonunu yalnızca sahte bir şarj istasyonuna takarak telefonun kötü amaçlı yazılım ile entegre olabileceğini açıklayan bir tehlikeden bahsedilmişti. Şimdi, yani yapılan ilk açıklamadan iki yıl sonra, Kaspersky Lab uzmanları bu sonuca tekrar ulaştı. Bir dizi özel komut (AT komutları) ile donatılmış normal bir PC ve standart bir mikro USB kablosu kullanan uzmanlar, bir akıllı telefona bir kök uygulamayı sessizce yüklemeyi başardı. Bu da hiçbir kötü amaçlı yazılım kullanılmamış dahi olsa, akıllı telefonun gizliliğinin bozulduğu anlamına geliyor.
Sahte şarj istasyonlarına dair gerçek olaylar hakkında hiçbir bilgi yayınlanmamış olmasına rağmen, geçmişte bir bilgisayara bağlı mobil cihazlardan veri çalındığı durumlarla karşılaşıldı.
Kaspersky Lab araştırmacısı Alexey Komarov, “Bir akıllı telefonun USB aracılığıyla nasıl enfekte olabileceğini gösteren kavramsal bir kanıtın yayınlanmasından neredeyse iki yıl sonra kavramın hala çalışıyor olduğunu görmek tuhaf. Buradaki güvenlik riskleri ortadadır. Eğer normal bir kullanıcı iseniz cihaz kimlikleriniz üzerinden izlenebilirsiniz; telefonunuza reklam yazılımlarından fidye yazılımlarına kadar herhangi bir şey sessizce yüklenebilir ve büyük bir şirkette karar verici iseniz kolayca profesyonel korsanların hedefi haline gelebilirsiniz hatta bu tür saldırıları gerçekleştirmek için öyle vasıflı olmaya da gerek yok. İhtiyaç duyulan tüm bilgilere İnternet üzerinden kolayca erişilebilir.” diyor.
TELEFONUNUZU KORUMANIN YOLLARI
Cihazınızı şarj etmek için yalnızca güvenilir USB şarj noktalarını ve bilgisayarları kullanın.
Cep telefonunuzu bir şifre ile ya da parmak izi tanıma gibi başka bir yöntemle koruyun ve şarj sırasında kilidini açmayın.
Verilerinizi korumak için şifreleme teknolojilerini ve güvenli kapsayıcıları (hassas bilgileri izole etmek için mobil cihazlarda bulunan korumalı alanlar) kullanın.
Hem mobil cihazınızı hem de PC veya Mac’inizi kanıtlanmış bir güvenlik çözümü ile kötü amaçlı yazılımlara karşı koruyun. Bu çözümler, şarj sırasında ortaya çıkan güvenlik açığı durumunda kötü amaçlı yazılımın tespit edilmesine yardımcı olacaktır.
(MHA)