Cihazınızı havaalanları, kafeler, parklar ve toplu taşıma araçlarında bulunan ve herkesin kullanımına açık şarj noktalarına bağladığınızda akıllı telefonunuzun ve verilerinizin ne kadar güvende olduğunu hiç merak ettiniz mi? Mobil cihazınız şarj olurken bu şarj noktaları ile ne ve ne kadar veri alışverişinde bulunuyor biliyor musunuz? Bunu merak eden Kaspersky Lab araştırmacıları, bu soruların cevaplarını bulmak için bir araştırma yaptılar.
Kaspersky Lab uzmanları deneylerinde, akıllı telefonların bilgisayara bağlı standart bir USB bağlantısı ile şarj edildiklerinde tehlikeye girebileceklerini keşfetti. Araştırmacılar şimdi, böyle bir durumda etkilerin neler olabileceğini değerlendiriyor.
Bu araştırmanın bir parçası olarak şirketin uzmanları, cihaz şarj amacıyla bir PC’ye veya Mac’e bağlandığında cihazın harici olarak hangi veri transferlerinde bulunduğunu anlamak için çeşitli Android sürümleri ve iOS işletim sistemleri ile çalışan bir dizi akıllı telefonu test etti. Test sonuçları ‘el sıkışması’ (cihaz ile bağlı olduğu PC/Mac arasındaki tanışma işlemi) esnasında, cihaz tarafından cihaz adı, cihaz üreticisi, cihaz türü, seri numarası, işletim sistemi bilgisi, dosya sistemi/dosya listesi, elektronik çip kimliği dahil bir sürü verinin teşhir edildiğini ortaya koydu. El sıkışma sırasında gönderilen veri miktarı cihaza ve ana bilgisayara bağlı olarak değişmekle birlikte tüm akıllı telefonların transfer ettiği standart bazı bilgiler bulunuyor; cihaz adı, üretici, seri numarası vb. gibi.
Akıllı telefonlar hemen hemen her zaman sahibine eşlik ettiğinden ötürü, daha sonra kullanmak amacıyla bu tür verileri toplamak isteyen herhangi bir üçüncü taraf için benzersiz bir tanımlayıcı olarak hizmet ederler. Bir saldırganın bilinmeyen bir bilgisayara veya şarj cihazına bağlı bir cihaz ile tek yapabileceği birkaç benzersiz tanımlayıcıyı toplamak olsaydı bir sorun olmazdı.
2014 yılında, Black Hat konferansında, bir cep telefonunu yalnızca sahte bir şarj istasyonuna takarak telefonun kötü amaçlı yazılım ile entegre olabileceğini açıklayan bir tehlikeden bahsedilmişti. Şimdi, yani yapılan ilk açıklamadan iki yıl sonra, Kaspersky Lab uzmanları bu sonuca tekrar ulaştı. Bir dizi özel komut (AT komutları) ile donatılmış normal bir PC ve standart bir mikro USB kablosu kullanan uzmanlar, bir akıllı telefona bir kök uygulamayı sessizce yüklemeyi başardı. Bu da hiçbir kötü amaçlı yazılım kullanılmamış dahi olsa, akıllı telefonun gizliliğinin bozulduğu anlamına geliyor.
Sahte şarj istasyonlarına dair gerçek olaylar hakkında hiçbir bilgi yayınlanmamış olmasına rağmen, geçmişte bir bilgisayara bağlı mobil cihazlardan veri çalındığı durumlarla karşılaşıldı. Örneğin bu teknik, 2013 yılında Red October casusluk operasyonunun bir parçası olarak kullanıldı. Aynı zamanda Hacking Team grubu da bir mobil cihaza kötü amaçlı yazılım yüklemek için bir bilgisayar bağlantısı kullandı. Bu tehdit aktörlerinin her ikisi de, akıllı telefon ve bağlı olduğu PC arasındaki sözde güvenli ilk veri alışverişinden yararlanmanın bir yolunu bulmuştu. Bağlı cihazdan alınan kimlik verilerini kontrol eden korsanlar, kurbanın hangi cihaz modelini kullandığını ve özel olarak seçilmiş bir açıklardan yararlanan yazılımı ile saldırılarını ilerletmenin yolunu keşfetmeyi başardılar. Bu, akıllı telefonlar bir USB portuna bağlandıklarında bağlandıkları PC ile otomatik olarak veri alışverişinde bulunmasaydı bu kadar kolay olmazdı.
Kaspersky Lab araştırmacısı Alexey Komarov “Bir akıllı telefonun USB aracılığıyla nasıl enfekte olabileceğini gösteren kavramsal bir kanıtın yayınlanmasından neredeyse iki yıl sonra kavramın hala çalışıyor olduğunu görmek tuhaf. Buradaki güvenlik riskleri ortadadır: Eğer normal bir kullanıcı iseniz cihaz kimlikleriniz üzerinden izlenebilirsiniz; telefonunuza reklam yazılımlarından fidye yazılımlarına kadar herhangi bir şey sessizce yüklenebilir; ve büyük bir şirkette karar verici iseniz kolayca profesyonel korsanların hedefi haline gelebilirsiniz. Ve hatta bu tür saldırıları gerçekleştirmek için öyle vasıflı olmaya da gerek yok; ihtiyaç duyulan tüm bilgilere İnternet üzerinden kolayca erişilebilir” diyor.
Bilinmeyen şarj noktaları ve güvenilmeyen bilgisayarlar aracılığıyla olası bir saldırı riskine karşı kendinizi koruyabilmeniz için Kaspersky Lab şu tavsiyelerde bulunuyor:
- Cihazınızı şarj etmek için yalnızca güvenilir USB şarj noktalarını ve bilgisayarları kullanın;
- Cep telefonunuzu bir şifre ile ya da parmak izi tanıma gibi başka bir yöntemle koruyun ve şarj sırasında kilidini açmayın;
- Verilerinizi korumak için şifreleme teknolojilerini ve güvenli kapsayıcıları (hassas bilgileri izole etmek için mobil cihazlarda bulunan korumalı alanlar) kullanın;
- Hem mobil cihazınızı hem de PC veya Mac’inizi kanıtlanmış bir güvenlik çözümü ile kötü amaçlı yazılımlara karşı koruyun. Bu çözümler, “şarj” sırasında ortaya çıkan güvenlik açığı durumunda kötü amaçlı yazılımın tespit edilmesine yardımcı olacaktır.