Telefonlar sahte baz istasyonu ile dinleniyor

advertisement
On5yirmi5.com
Telefonlar sahte baz istasyonu ile dinleniyor
Mathew Solnik, "Hackerlar yapmayı isteyecekleri herhangi bir şeyi yapabilir. Eğer
telefonunuza Angry Birds oyunu yüklemek isterlerse bunu da yapabilirler." diyor.
Yayın Tarihi : 5 Ağustos 2014 Salı (oluşturma : 10/21/2017)
Fortune 500 şirketleri ve ABD hükümeti ile çalışan güvenlik şirketi Accuvant'ta danışmanlık yapan
28 yaşındaki Mathew Solnik, bir kişinin akıllı telefonunu 9 metre uzaktan kişiye hissettirmeden
kontrol edebileceğini söylüyor. Solnik, böylece bu telefonu canlı bir mikrofona dönüştürebiliyor,
telefondaki rehberi görebiliyor veya yazılı mesajları okuyabiliyor.
Solnik'in bu saldırı kapasitesi siber güvenlik alanında yeni cephenin çıkışını gösteriyor: Bilgisayarlar,
kullanıcıların ceplerinde telefonlar şeklinde gizleniyor.
Akıllı telefonların internete sürekli erişimi var ve çok sık güncellenmiyorlar. Bu da güvenlik için risk
oluşturuyor. Bu cihazlar zengin hedefler haline geldi. Fotoğraflar çekiyor, arkadaşların isimleri yer
alıyor, görüşmeler yapılıyor.
2010'da mobil telefonlara benzer bir saldırı yapan Ralf-Philipp Weinmann da yorumunda,
"Tüketicilerin büyük kesimi bu değişimin yarattığı etkiyi idrak edemiyor. Bir ağa sürekli bağlı halde
olan bir cihaza bir sürü bilgi kaydediyorsunuz." dedi.
Akıllı telefonlar bu hafta başlayan Black Hat Güvenlik Konferansı'nda da odaklarda olacak. Bu
konferansta Solnik, saldırı tekniğinin ana hatlarının sunumunu da yapacak. Georgia Teknoloji
Enstitüsü'nden dört öğrenci Apple'ın iPhone telefonlarını ele geçirmeye imkân tanıyan yeni yolları
gösterecek. Risk sermayesi destekli mobil güvenlik şirketi Bluebox'tan bir araştırmacı da Google' ın
Android işletim sistemini kullanan akıllı telefonlarda çalışan uygulamaların kullanıcı bilgilerini nasıl
çaldığını ortaya koyacak. Ancak Google bu açığı kapatan yamaya daha önce yayınlamıştı.
Solnik, bazı telefonların sinyallerindeki açığı kullanarak nasıl sahte bir operatör şirketi gibi
davranılacağını da çözdüğünü belirtiyor. Bu yöntem, Z10 dokunmatik ekranlı modeli de dâhil
BlackBerry telefonlarda, Google'ın Android işletim sistemini kullanan telefonlarda ve artık
güncelleme almayan Apple'ın eski bir iPhone modelinde işe yarıyor. Detaya girmeyen Solnik bu
yöntemin LTE ağını kullanan birçok cihazda kullanılabildiğini ifade ediyor. Bu ağ kablosuz iletişimde
kullanılan en güvenilir ve en son teknoloji olarak biliniyor.
AT&T ve Verizon Communications gibi şirketlerin kablosuz ağları üzerinden iletişim kurmak için
telefonlar ana frekans çipi denen bir telsiz sistemini kullanıyor. Bu sistem kullanıcıların erişimine
kapalı olduğundan güvenlik uzmanları sistemin güvenilirliği konusunda değerlendirme yapmakta
zorlanıyor.
Telefonun kendi operatör şirketi üzerinden iletişime geçtiğini sanması için Solnik saha bir baz
istasyonu kullanıyor. Bu baz istasyonunu bin dolardan (2.100 lira) daha ucuza satın alabildiğini
söyleyen Solnik, dizüstü büyüklüğündeki bu sahte baz istasyonu ile 9 metreden hedef telefona
zararlı kodlar yükleyebildiğini ifade ediyor.
Bazı durumlarda Solnik; mikrofon, kamera ve uygulamalar gibi telefonun diğer özelliklerini de
kontrol edebiliyor. Solnik, çalışma arkadaşı Marc Blanchou ile birlikte nelerin mümkün olduğunu
göstermek için bu tekniği geliştirdiklerinin de altını çiziyor. Bu tekniğin bazı cihazlarda işe yaradığını
söyleyen Solnik, bu cihazlar konusunda bilgi vermedi.
Teknik, Qualcomm tarafından üretilen ana frekans çiplerinde işe yarıyor. Qualcomm'un bu çipleri
modern akıllı telefonların büyük çoğunluğunda kullanılıyor. Qualcomm yaptığı açıklamada
Accuvant'ın bu çiplerde güvenlik açığı bulduğunu doğruladı ve açıktan etkilenen şirketlere sorunu
çözmeleri konusunda yardım ettiklerini belirtti. Qualcomm sözcüsü, Solnik'in bulduğu açığın diğer
şirketlerin yaptığı yazılımları etkilediğini ve yalnızca eski sistemlerde çalıştığını söyledi.
BlackBerry ise Accuvant "yakından çalıştıklarını" açıkladı. Google ve Apple ise bu araştırma
konusunda uyarıldıklarını duyurdu.
WSJ Türkçe’deki habere göre, Google'ın Android işletim sistemi güvenlik şefi Adrian Ludwig yaptığı
açıklamada şirketin yazılımı içerisine güvenliği yerleştirdiğini söyledi. Örneğin veri hırsızlığını
önlemek için uygulamalar birbirinden tecrit edilmiş şekilde kuruluyor. Ancak Ludwig, ana frekans
sisteminin tüm telefonlar için "yüksek risk" teşkil ettiğini belirtti.
Bu frekans sistemi tek bir güvenlik programının telefonu kurumasını da zorlaştırıyor. Günümüzde
antivirüs programları kişisel bilgisayarlarda bu şekilde çalışıyor. Aynı zamanda tüketiciler
bilgisayarlarında güvenlik önlemleri alırken aynı şeyi telefonları için yapmıyor.
Hackerlar ve istihbarat elemanları uzun zamandır kullanıcıya veya operatöre sezdirmeden telefonun
kontrolünü ele geçirecek yöntemler arıyor. Konuya yakın bir kaynak ABD savunması alanında
faaliyet gösteren bazı şirketlerin ana frekansı kırma yöntemine yatırım yaptığını ifade ediyor.
Konuya yakın iki kaynak, özel sermaye şirketi Francisco Partners Management'ın, hükümetlere
kişilerin telefonlarını izlemekte yardımcı olan NSO şirketini bu yılın başında 110 milyon dolara satın
aldığını belirtiyor. LinkedIn profillerinde NSO'nun şu anki ve eski mühendisleri Google'ın ve Apple'ın
mobil işletim sistemlerinde açıklar bulduklarını iddia ediyor. Francisco Partners konuyla ilgili
açıklama talebimize geri dönmedi.
Konuya yakın bir kaynak, bu yılın başında Blackstone Grup'un, Accuvant'ın çoğunluk hisselerini 225
milyon dolara satın aldığını söyledi.
Bu dökümanı orjinal adreste göster
Telefonlar sahte baz istasyonu ile dinleniyor
Download