Hackerlar Sadece Akıllı Telefonların Sensörlerini İzleyerek Parolalarınızı Çalabilir
Hackerlar Sadece Akıllı Telefonların Sensörlerini İzleyerek Parolalarınızı Çalabilir
Akıllı telefonunuzda kaç çeşit sensör var biliyor musunuz?
Fiziksel ve dijital etkinlikleriniz hakkında ne tür verileri topluyor biliyor
musunuz?
Günümüzde ortalama bir akıllı telefon, GPS, Kamera,
mikrofon, ivmeölçer, manyetometre, yakınlık, jiroskop, pedometre ve NFC gibi
çok sayıda sensörler bulunmaktadır.
Şimdi, İngiltere’deki Newcastle Üniversitesi’nden bir bilim
adamı ekibine göre, bilgisayar korsanları telefonunuzun sensörlerini izleyerek
PIN’leri ve şifreleri tahmin edebilirler.
Tehlike, kötü amaçlı web sitelerinin ve uygulamaların akıllı
telefonun iç algılayıcılarına erişme iznini vermeden girmesine bağlı olarak
gelir; şifrenizi girmek için HTTPS üzerinden güvenli bir web sitesine erişseniz
bile bir önemi yoktur.
Telefonunuz Uygulamaların Sensör Verilerine Erişimini Kısıtlamaz
Akıllı telefon uygulamalarınız, GPS, kamera ve mikrofon gibi
sensörlere erişim izni vermelerini istemektedir.
Ancak son yıllarda mobil oyun ve sağlık ve spor
uygulamalarındaki patlamanın etkisiyle mobil işletim sistemleri, yüklü
uygulamaların ivmeölçer, jiroskop, NFC, hareket ve yakınlık gibi hareket
sensörlerinden gelen verilere erişmesini kısıtlamıyor.
Bundan sonra, herhangi bir kötü amaçlı uygulama, bu verileri
kötü niyetli amaçlar için kullanabilir. Hatalı biçimlendirilmiş web siteleri
için de aynı durum geçerlidir.
Kısıtlanmayan bu verilere herhangi bir kötü amaçlı uygulama,
kötü niyetli amaçlar için kullanabilir. Hatalı biçimlendirilmiş web siteleri
için de aynı durum geçerlidir.
“Akıllı telefonların, tabletlerin, GPS, kamera ve
mikrofondan, jiroskop, yakınlık, NFC ve dönüş sensörleri ve ivmeölçer gibi
aletlere kadar çok sayıda sensör bulunuyor” Dr. Maryam Mehrnezhad , Gazetenin
baş araştırmacısı, araştırmayı tarif ettiğini söyledi.
“Ancak mobil uygulamalar ve web sitelerinin çoğuna erişmek
için izin istemesi gerekmediğinden, kötü amaçlı programlar sensör verilerinizde
gizlice” dinleyebilir “ve telefon çağrısı zamanlaması gibi sizinle ilgili
hassas bilgileri geniş bir yelpazede keşfetmek için kullanabilir. Fiziksel
etkinlikler ve hatta dokunma eylemleriniz, PIN’leriniz ve şifreleriniz.
Bu işlem tamamlandıktan sonra, kötü niyetli uygulama veya
web sitesi telefonunun arka planında çalışırken kurbanı kendi cihazında ne tür
olursa olsun, kötü niyetli komut, çeşitli sensörlerden gelen verilere erişmeye
devam eder ve PIN’i veya şifreleri tahmin etmek için gerekli bilgileri kaydeder
ve habersizce bu bilgileri saldırganın sunucusuna gönderir.
PIN’leri ve Parolaları Yüksek Dereceden Doğrulukla Tahmin Edin
Araştırmacılar ilk denemede dört haneli PIN’leri% 74
doğrulukla tahmin edebildiler; beşinci testte sadece 50 harici cihazdan
kaydedilen verilere dayanılarak% 100 doğrulukla tahmin ettiler.
Bilim insanları, toplanan verileri, kullanıcıların nereye
dokunup gezindiğini, bir mobil web sayfasında neler yazdıklarını ve sayfanın
hangi bölümünü tıkladıklarını belirlemek için bile kullanabiliyorlardı.
Araştırmacılar herhangi bir izin olmadan erişebilecekleri
bir akıllı telefondaki birkaç algılayıcıya farkındalık yaratmaktan başka bir
şey olmadığını ve satıcıların standart yerleşik izin modellerinde herhangi bir
kısıtlama içermediğini söyledi.
Mehrnezhad, “Gerçek risklere rağmen insanlara en çok endişe
duydukları sensörleri sorduğumuzda, algılanan risk ile anlayış arasında
doğrudan bir ilişki bulduk” dedi. “Dolayısıyla insanlar, kameraya ve GPS’e,
sessiz algılayıcılara kıyasla çok daha fazla endişeliydi.”
Mehrnezhad, ekibin Google ve Apple gibi önde gelen tarayıcı
sağlayıcılarına riskleri konusunda uyarıda bulunduğunu ve Mozilla ve Safari
dahil olmak üzere bazılarının sorunu kısmen düzelttiğini ancak takımın ideal
bir çözüm bulmak için sektörle hala çalışmakta olduğunu belirtti.
Uluslararası Bilgi Güvenliği Dergisinde yayınlanan daha
teknik ayrıntılara “Taşınabilir sensörler yoluyla PIN’leri çalmak” başlıklı tam
araştırma makalesinde bulabilirsiniz.
