android Archives – TerraMedusa Secure

Kolumuzdaki güvenlik açığı: Akıllı saatler

27/07/2015/in Güncel /tarafından TerraMedusa

Son yapılan araştırmalara göre akıllı saatler ortalamanın üzerinde güvenlik zayıflıklarına sahip. Güvensiz kimlik doğrulama, şifreleme ve gizlilik sıkıntıları, çeşitli yazılımsal güvenlik açıkları bu yeni pazarı tehdit ediyor.

Durum öylesi bir hal almış ki şu an için önerilen şey güçlü bir kimlik doğrulama sistemi gelinceye kadar akıllı saatlere araba veya evimizi bağlamamamız yönünde. Diğer yandan tek tehdit evimiz veya arabamız değil. Akıllı saatler yavaş yavaş kurumsal ağlara da bağlanıyor ve bu bambaşka tehditlerin önünü açacak.

Akıllı saatler şimdiden yaşamımızın bir parçası olmaya başladı. Gelecekte kullanımı artacak bu cihazlar yeni tehditleri de hayatımıza katıyor. Akıllı saatlere dair açıklık kategorilerinden bazıları;

Yetersiz kimlik doğrulama ve yetkilendirme: Mobil telefonlarla eşleştirilen akıllı saatlerin hiçbirini iki aşamalı şifre gibi bir önleme sahip değil. Aynı zamanda 3-5 başarısız denemeden sonra hesabı kitlemiyorlar. Bunun anlamı brute force yoluyla basit şifrelere ulaşılabilecek olması.

Şifreleme ile ilgili yetersizlikler: Şifreli iletişim bir akıllı saat için belki en temel özellik. Ürünlerin neredeyse tamamı SSL/TLS şifreleme kullanıyor. Bunların %40’ının ise bulut bağlantısı var ve POODLE saldırısına karşı savunmasız. SSLv2 gibi zayıf cipherlar aktif ve kullanılabiliyor.

Güvensiz arabirimler: Akıllı saatlerin %30’u bulut tabanlı bir web arabirime sahip. Bunların tümü brute force saldırılarına karşı savunmasız durumda. Aynı zamanda mobil uygulamaları da brute force saldırılarından muzdarip. Kullanıcı adı bilinmiyorsa, şifre sıfırlama aşamasında kullanıcı adını belirlemekte mümkün durumda.

Güvensiz yazılım ve donanım: Akıllı saatlerin %70’i firmware güncellemeleri, firmware dosyalarının transferi sırasındaki şifreleme konusunda açıklar içeriyor.

Gizlilik sıkıntıları: Tüm akıllı saatler isim, adres, doğum tarihi, kilo, cinsiyet, kalp atış hızı ve diğer sağlık bilgilerini toplayıp üreticiye iletiyor.

WhatsApp kullanıcılarını takip ederek gizliliği aşmak

16/02/2015/in Güncel /tarafından TerraMedusa

WhatsApp inanılmaz bir büyümeyle son yıllarda neredeyse her akıllı telefona girmeyi başardı. Bu da bazı gizlilik risklerini beraberinde getiriyor.

Özellikle Facebooks satın alması sonrası iyice ivme kazanan mesajlaşma uygulaması bugün hem kişisel, hem de kurumsal telefonların büyük bölümünde bulunuyor. Son gelişmeler gizlilik anlamında bazı tasarım hatalarının WhatsApp’ı tehdit ettiğine işaret ediyor. WhatsSpy Public adındaki yeni geliştirilen yazılım sayesinde WhatsApp kullanıcılarının gizlilik ayarlarını bypass ederek takip etmek mümkün. İstenilen kullanıcının online olup olmadığı, hangi zaman aralıklarında online olduğu, durum güncellemesinin ne olduğunu dışarıya gizlemiş bile olsa anlık olarak takip ederek değişimler kaydedilebiliyor.

İşin ilginç kısmı WhatsSpy bunları yaparken hiçbir hack veya illegal yöntem kullanmıyor. Yani aktif olarak başkasının hesabına bir saldırı gerçekleşmiyor. Web tabanlı geliştirilen WhatsSpy Public uygulamasında arabirim üzerinden aktiviteleri tarihler bazında arşiv şeklinde görmek ve karşılaştırmakta mümkün. Uygulamanın çalışması için root edilmiş bir Android cihaz, PHP/Apache/PostgreSQL ve 24/7 çalışan bir sunucu gerekli oluyor. Aynı zamanda ikinci bir WhatsApp hesabı da gerekli oluyor.

Açık istihbarat yöntemleriyle Sosyal Medya veya Internet üzerinden gizlilik ihlalleri çoğalıyor. Bunun yanında WhatsApp gibi özünde kurumsal bilgi güvenliği politikalarına ters bazı uygulamaların gizlilik sözleşmelerinde belirttiği üzere çok sayıda bilgi toplama şansı var. Diğer yandan bu tarz araçlar bu ihlalleri bir adım öteye taşıyıp uzaktan kullanıcıların ne zaman online olduğunu ve başka bazı bilgileri arşivleme imkanı veriyor. Sadece özel sektör değil kamu sektöründe de bu riskler her geçen gün önem kazanmaya başladı.

Otomobil hack kitleri yaygınlaşıyor

02/02/2015/in Güncel /tarafından TerraMedusa

Otomobillerin gittikçe daha fazla bilgisayarla birleşmesi sonucu riskler de arttı. Artık eBay üzerinden bile otomobil hack kiti satın almak mümkün.

Bugünlerde otomobil hırsızlıkları yükselişe geçti. Üreticiler özellikle anahtarsız giriş teknolojisine ağırlık vermeye başladılar. Bu teknoloji de güvenli olmaktan oldukça uzak gözüküyor. Anahtarsız giriş sistemi fiziksel anahtara ihtiyaç duymayan bir sistem ve geleneksel anahtarlı yönteme göre daha savunmasız.

Hırsızlar jammer kullanarak kilitleme sinyalinin devreye girmesini engelleyebiliyorlar. Bunun yanı sıra araç kilitleme sinyalini okuyup kaydettikten sonra tekrar aktararak kilitli aracı açarak çalıştırıp gidebiliyorlar da. Üstelik artık bu tarz ekipmanları internet üzerinden satın almak çok daha kolay hale geldi. eBay üzerinden bile ortalama 150 dolar gibi bir rakama bu tarz ekipmanları temin etmek mümkün.

Anahtarsız giriş sisteminde sinyali yakalamak 8 metre kadar bir uzaklığa kadar mümkün. Yani bu yakındaki bir evin veya ofisin içerisinden rahatlıkla gerçekleştirilebiliyor. Önümüzdeki dönemde Android’in otomobillerde daha da yaygınlaşması ve Apple’ın CarPlay markasıyla otomobil piyasasına girmesinin riskleri daha da arttırması bekleniyor. Otomobil üreticileri ise konuyu genelleyerek anahtarların yeniden programlanarak otomobillere erişilmesini “endüstri genelindeki bir problem” olarak görerek henüz bu teknolojilerin yeterince gelişmediğini kabul ediyorlar.

930 milyon Android cihaz risk altında

18/01/2015/in Güncel /tarafından TerraMedusa

Son gelişme ile Google, yüzmilyonlarca Android kullanıcısını ciddi güvenlik riskiyle karşı karşıya bıraktı.

Google’ın Android ekibi yaptığı duyuruyla yayınlanan son kritik zafiyetlerden biri olan WebView, tüm güvenlik güncellemeleri ve diğer güncellemeleri artık Android 4.3 Jelly Bean ve öncesi için çıkartmayacağını açıkladı. İstatistiklere bakıldığında ise Android cihazların %60’ı yani 930 milyon kadar cihaz şu an yaması bulunmayan güvenlik açıklarından etkileniyor.

Son kritik zafiyetlerden WebView ise mobil uygulama içerisinden kullanılabilen bir web browser. Geliştiriciler WebView modülünü uygulamalarına ekleyerek uygulama içerisinde web sayfası gösterebiliyor veya web uygulaması çalıştırabiliyor. Google Android 4.4 üzerindeki WebView modülünü kısa süre önce güncelledi.

Google’ın WebView gibi kritik zafiyetlerle ilgili 930 milyon cihaz için yama çıkartmaması sadece telefonları değil tabletleri, Android kullanan başka elektronik cihazları, otomobilleri ve akıllı ev sistemlerini dahi ilgilendiriyor. Özellikle uzakdoğu çıkışlı ufak tefek markaların Android cihazlarının yeni versiyona güncellenmesi oldukça zor bir ihtimal gibi gözüküyor.

Android telefon ile ATM cihazı hacklemek

12/01/2015/in Güncel /tarafından TerraMedusa

Siber suçlular ATM cihazlarını hackleyerek akıllı telefon yardımıyla para çekmek için yeni yöntemler keşfediyor. ATM cihazlarına fiziksel olarak bağlanan telefon, uzaktan verilen komutlarla ATM cihazını yöneterek istenilen anda, istenilen şartlarda kartuşlarda bulunan paranın çekilebilmesine olanak sağlıyor.

Bu iş için gerekli olanlar boyutça ufak bir Android çalıştıran cep telefonu, USB kablosu ve USB devre kartı. Bu saldırı tekniği şu an için sadece NCR marka ATM cihazlarında başarıyla çalışıyor. Şu ana kadar NCR’ın haberdar olduğu kadarıyla bu saldırı türü kullanılarak 2 ATM soygunu gerçekleştirildi.

Firma bu gelişmeler üzerine bir firmware güncellemesi yayınlayarak cihazlardaki para kartuşları ile sistem arasındaki iletişimin şifrelemesini iyileştirdi. Güncellemenin diğer bir yaptığı ise bir kere bu versiyona geçildikten sonra geriye dönülememesi. Geriye dönülmesi halinde tekrar güvenlik riski meydana geliyor.

NCR’ın konu ile yaptığı yorum saldırının oldukça ucuz, basit ve etkili olduğu yönünde. Eğer hangi komutları vereceğinizi biliyorsanız ATM’leri hacklemek oldukça basit. ATM cihazlarının halen gelişime ihtiyacı olduğu açık.

Her adımınız Google’ın takibinde

15/09/2014/in Güncel /tarafından TerraMedusa

Konum bilgisi mahremiyetin önündeki büyük tehditlerden biri olmaya devam ediyor. Çok sayıda mobil uygulama bunu toplamayı adet edinse de hiçbiri Google’ın sahip olduğu boyutta verinin yanına yaklaşamıyor.

Bugüne kadar Google’ın bazı reklamverenler, çoğu zamansa NSA ile işbirliği yaparak gerek konum bilgilerini, gerekse diğer kritik kullanıcı bilgilerini paylaştığıyla ilgili çok sayıda habere rastlanmıştı. Bunların kimileri Edward Snowden’ın sızdırdığı bilgilere dayanıyordu. Geçtiğimiz haftalarda ünlü medya patronu Rupert Murdoch “NSA’in gizlilik ihlalleri kötü, ama hiçbiri Google’ın yaptıklarıyla kıyaslanamaz” diyerek konuya bambaşka bir boyut kattı.

Murdoch bunda haksız da sayılmaz Google sahip olduğu onlarca servisten topladığı datalar dışında Android işletim sistemi sayesinde lokasyon bilgileri, arama kayıtları, bazı kullanıcı bilgilerini sürekli Google sunucularına göndererek ciddi mahremiyet ihlalleri yapıyor.

Bu bir tahmin veya komple teorisi değil. Google’ın sizin hakkında topladığı bazı verileri kendiniz de görebiliyorsunuz. Eğer sürekli konum bilgisi açık şekilde telefonunu kullanan biriyseniz ve mobilde aktif olarak Google servislerini, Android’i kullanıyorsanız bu adresten hangi tarihlerde, tarih aralıklarında nerede bulunduğunuzu takip etmeniz mümkün.

Burada bir harita üzerinde Google’ın sizi adım adım takip ettiğini görebiliyorsunuz. Her ne kadar bu bile ürkütücü olsa da, gördüğünüz verinin sadeleştirilmiş şekilde size gösterildiği hali. Siz dolaşırken sadece lokasyon bilginiz değil; Chrome kullanarak gezdiğiniz web siteleri, Gmail üzerinden alıp gönderdiğiniz e-postalar, aradığınız kişiler, Google kullanarak yaptığınız aramaların hepsi Google sunucularında aktarılıyor. Dolayısıyla lokasyonunuz ve gerçekleştirdiğiniz eylemler önce detaylı işlenebilecek tüketici bilgisi olarak reklamverenlere servis ediliyor. Sonrasında ise ABD hükümeti ile paylaşılıyor.

Peki bu takipten kaçmanın bir yolu yokmu? Elbette var. Eğer bir yandan Android’in özgürlüğünü, diğer yandan da Google’ın peşinizi bırakmasını istiyorsanız AOSP (Android Open Source Project) isimli projedeki koddan derlenen Android ROM’larını deneyebilirsiniz. Google’ın ek yazılımları ve kodlarından arınmış temiz bir Android deneyimi ancak bu şekilde mümkün olabiliyor. Bunun bedeli de alışılan pratikliğin aksine kurulum ve yapılandırma için daha fazla vakit harcamak, kafa yormak anlamına geliyor.

El Kaide ve şifreleme algoritmaları

11/08/2014/in Güncel /tarafından TerraMedusa

El Kaide terörist faliyetlerini sürdürmek için sürekli yeni iletişim, şifreleme yöntemleri geliştiriyor. Özellikle NSA’in takip mekanizmaları deşifre olduktan sonra bu iletişim ve şifreleme metodlarında da değişiklikler olduğu ortaya çıktı.

El Kaide ilk olarak 2007’de Mujahideen adında bir şifreleme algoritması geliştirmişti. Burada amaç online ve cep telefonu ile yapılan iletişimi şifreli hale getirmekti. İleriki zamanlarda El Kaide yeni şifreleme metodları geliştirerek anlık mesajlaşma, farklı mobil servisleri de şifrelemeye başladı.

Bugüne kadar aşağıdaki şifreleme metodlarının El Kaide tarafından geliştirildiği biliniyor;

1. Tashfeer al-Jawwal: Global Islamic Media Front (GIMF) tarafından geliştirilen mobil şifreleme platformu. Eylül 2013’te devreye alındı.

2. Asrar al-Ghurabaa: Islamic State of Iraq and Al-Sham tarafından geliştirilen alternatif bir şifreleme tekniği. Kasım 2013’te devreye alındı.

3. Amn al-Mujahid: Al-Fajr TechnicalComittee adlı ana El Kaide organizasyonu tarafından Aralık 2013 tarihinde devreye alındı.

El Kaide’nin özellikle Android platformuna ekstra bir ilgisi olduğu bilinmekte. Genellikle şifreleme algoritmalarını ve bunların uygulamalarını bu platform için yayınlıyorlar. Elbette El Kaide’nin aktif olduğu ülkelerdeki Android kullanımının, ithalatının daha rahat olmasının da bunda büyük etkisi bulunuyor.

İkinci el Android telefonlardan silinmiş onbinlerce bilgiyi geri getirmek

14/07/2014/in Güncel /tarafından TerraMedusa

Android telefonlarda, telefonu tamamıyla fabrika ayarlarına getirmek veya fotoğrafları, bilgileri silmek tek başına yeterli olmuyor. Yapılan araştırmada eBay’den alınan bilgileri silinmiş 20 ikinci el telefondan 40 binin üzerinde veri kurtarıldı.

Aralarında HTC One X, HTC Evo, HTC ThunderBolt, HTC Sensation, Samsung Galaxy S2, Samsung Galaxy S3, Samsung Galaxy S4, LG Optimus L9, Motorola Droid RAZR MAXX gibi modellerin olduğu 20 telefondan söz ediyoruz. Tüm bu cihazlardan kurtarılan fotoğrafın miktarı 40 binin üzerinde. Bu fotoğrafların 1500 tanesi aile ve çocuk fotoğrafları. 750 kadarı ise çıplaklık içeren müstehcen fotoğraflar. Bu müstehcen fotoğrafların 250 tanesi de telefon sahibi tarafından selfie şeklinde çekilmiş.

Elde edilen bilgiler sadece bunlarla ilgili değil. Yüzlerce Google araması, 750’nin üzerinde email, SMS mesajı, 250’nin üzerinde iletişim bilgisi ve telefonların eski 4 sahibine ait bilgiler geri getirilebildi. Bu kişisel bilgiler kişilerin özel hayatları hakkında bilgi edinmek, bazı yasal süreçlerde kullanak için istismar edilebileceği gibi müstehcenlik içeren fotoğraflar şantaj amaçlı da kullanılabiliyor.

Sadece eBay üzerinde günde 80 bin kadar ikinci el telefon satılığa çıkarılıyor. Bunların neredeyse tamamı fabrika ayarlarına döndürülerek bilgiler silinmiş şekilde, yani tamamıyla geri getirilebilir şekilde alıcılarını bekliyor.

SMS ile gelen bankacılık şifreleri siber suçluların elinde

03/11/2013/in Güncel /tarafından TerraMedusa

Bir süredir siber suçlular bankalar tarafından SMS ile gönderilen tek kullanımlık şifreleri zararlı yazılımlar ile ele geçirerek çalışmaya devam ediyor. Henüz yazım aşamasında bulunan yeni bir internet bankacılığı zararlı yazılımı anlık şifreler için Android ve BlackBerry platformlarını tehdit ediyor.

Tamamlandığında 4000 dolara satılacak olan yazılım çift aşamalı şifreleri ve SMS uyarılarını ele geçirerek saldırganlara anında iletiyor.

Yazılımın ana özellikleri;

– Gelen SMS mesajlarını göstermeden anlık olarak istenilen numaraya iletmek

– Gelen aramalardan istenilenleri göstermeden istenilen numaraya yönlendirmek

– Cihazdaki SMS mesajlarına tam erişim

– Cihazdaki arama geçmişine erişim

– Cihazdaki telefon rehberine erişim

– Cihaz mikrofonunu uzaktan aktive ederek konuşulanları kaydederek uzaktaki sunucuya göndermek

– Cihaz üzerinden izinsiz SMS göndermek

– Cihaz üzerinden izinsiz arama yapmak, yönetmek

– Internet bağlantısı olmadığı durumlarda SMS mesajlarıyla cihazı yönetmek

– Cihaz ile ilgili telefon numarası, ICCID, IMEI, IMSI, Model, İşletim sistemi gibi her türlü bilgiyi edinmek

İstenildiği takdirde yazılımın Rusça ve İngilizce dışında dillere de çevirisinin yapılması sağlanabiliyor. Yazılımın botnet tarafının ise hacklenen Google Play hesapları üzerinden, yazılım geliştiricilerin hazırladığı programların içerisine yerleştirilerek dağıtılması planlanıyor.

Yine Android, yine risk

15/06/2013/in Güncel /tarafından TerraMedusa

Bugünlerde iki aşamalı kimlik doğrulama sistemi eğer Android kullanıyorsanız yeterince güvenli olmayabilir. Yeni Android zararlı yazılımı “Android.Pincer.2.origin” bulaştığı telefonlardaki mesaj trafiğini takip ederek siber suçlulara iletiyor. Zararlı yazılım “Android.Pincer” zararlı yazılımının yeni bir türevi.

Bir Rus antivirüs firması tarafından tespit edilen zararlı yazılım kendini bir güvenlik sertifikası olarak gizleyerek cihaza yükleniyor. Fakat arka planda zararlı yazılım telefona dair tüm verileri topluyor. Bunlar arasında cihazın seri numarası, IMEI numarası, modeli, kullanılan şebeke, telefon numarası, işletim sistemi versiyonu gibi bilgiler bulunuyor.

Bu ele geçirilen veriler siber suçlular tarafından yönetilen sunuculara iletiliyor. Tüm bu bilgiler iletildikten sonra zararlı yazılım, onu yöneten kişilerden komut bekliyor. Bu aşamada zararlı yazılımı yöneten kişiler gelen smsleri kendilerine yönlendirebiliyor, istedikleri başka numaralara yönlendirebiliyor, silebiliyor, USSD mesajları gönderebiliyor.

Zararlı yazılım iki aşamalı kimlik doğrulamayı güvensiz hale getirmek için telefona gelen mesajları tanıyıp istediği gibi yok sayabiliyor veya siber suçlulara iletebiliyor. Internet bankacılığı gibi finansal işlemler için kullanılan mTAN kodları da bunlara dahil.

Yazılar