Kişisel verilerin çalınmasında 'PDF' detayı

STM'nin teknolojik düşünce merkezi "ThinkTech", nisan-haziran dönemini  kapsayan yeni Siber Tehdit Durum Raporu'nu açıkladı.

13 konu başlığının yer aldığı raporda, günlük işlerin çoğunun  yapıldığı mobil cihazların güvenliğini hedef alabilecek bazı saldırılara ve  bunlara karşı geliştirilen önlemlere yer verildi.

Raporda, mobil cihazlardaki güvenlik uygulamalarına yönelik gerçek  dünya saldırılarının büyük bir kısmının yan kanal analizi (Side Channel  Analysis-SCA) yolunu izlediği belirtildi.

Söz konusu saldırılarda, bir çipin güç tüketimi, elektromanyetik  yayılımları veya bir işlemcinin tepki süresi gibi fiziksel niceliklerinin  ölçülüp, işlendiğine dikkati çekilirken, giderek daha ucuz hale gelen işlem gücü  sayesinde, güncel saldırılarda yan kanal analizi için ileri makine öğrenmesi ve  derin öğrenme algoritmalarının kullanıldığı kaydedildi.

Bir yan kanal analiz tekniği olan TEMPEST’e değinilen raporda, akıllı  telefonlardaki hareket sensörü aracılığıyla kullanıcının tuş vuruşlarının bu  yolla kolayca algılanabildiği, içeriği bir bilgisayardan veya başka bir ekrandan  kolaylıkla saptanabildiği ifade edildi. Yan kanal analizi kullanılarak yapılan  saldırıların, mobil cihazlar için büyük bir tehdit oluşturduğu vurgulandı.

PDF’LERDE GÜVENLİK AÇIĞIYLA KİŞİSEL BİLGİLER ÇALINABİLİYOR

STM raporunda, akademik makaleler, faturalar, kontratlar ve yazıların  kolaylıkla paylaşıldığı, dünyada en yaygın kullanılan doküman alışverişi formatı  PDF’nin (Portable Document Format) art niyetli kullanımı da ele alındı. Hem mobil  hem de web ortamlarında kullanılabilen PDF’lere yönelik 4 farklı saldırı tipi  incelendi. Bunlar şöyle sıralandı:

- Denial of Service (DoS) Saldırıları: PDF belgesinin açıldığı  bilgisayarın kaynaklarını tüketen saldırılar,

- Bilgi İfşası Saldırıları: PDF belgesinin açıldığı bilgisayar ve  sahibi hakkında bilgiler toplayan saldırılar,

- Veri Manipülasyonu Saldırıları: PDF belgesindeki ve belgenin  açıldığı bilgisayardaki verileri değiştirebilen veya maskeleyebilen saldırılar,

- Kod Çalıştırma (Code Execution) Saldırıları: PDF belgesinin açıldığı  bilgisayarda gizlice kod çalıştırabilen saldırılar.

Raporda bu saldırılara karşı alınabilecek önlemler de sıralandı. Buna  göre, DoS saldırılarına sebebiyet veren sonsuz döngülere çözüm olarak PDF işleme  standartlarının güncellenmesi, PDF formatı kendine referans verebilen objelerden  arındırılması, standartların güncellenmesiyle içerik maskeleme saldırılarının da  önlenmesi gerektiği vurgulandı. Ayrıca raporda, PDF işleme araçlarının  erişebilecekleri sistem kaynakları bakımından da kısıtlanması gerektiği,  JavaScript tabanlı saldırı varyantlarının sıklığı sebebiyle PDF belgelerinin  JavaScript’ten tamamen arındırılması ya da PDF belgelerinde kısıtlı miktarda  JavaScript programlama kapasitesine erişim verilmesi gerektiği ifade edildi.

AKILLI TELEFONLARA YÖNELİK YENİ SALDIRI METODU: "CHARGER-SURFİNG"

Hava alanları, oteller, parklar, hastaneler gibi genel kullanıma açık  alanlardaki ücretsiz veya ücretli şarj istasyonlarının sayısındaki artışa dikkati  çekilen raporda, bu tür şarj alanlarındaki USB ara yüzlerinin sağladıkları  kolaylığa rağmen, kullanıcının kontrolü altında olmadığından birçok tehlikeyi de  beraberinde getirdiği kaydedildi.

Raporda, akıllı telefonların güç sızıntısından yararlanan yeni bir  saldırı metodu olan Charger-Surfing'e işaret edilerek, dokunmatik ekranda  oynatılan animasyonların konumunu ortaya çıkarmak ve kullanıcının parolası gibi  hassas bilgileri çalmak için izlenen bu yöntemde, şarj olan bir akıllı telefonun  güç izleri üzerinden sinyal işleme yardımıyla hangi düğmelere basıldığının  belirlendiği belirtildi.

Saldırının gerçekleştirilmesi için, taşınabilir ve düşük maliyetli bir  güç izi dinleme cihazının kullanıcıdan habersiz şekilde şarj istasyonuna  yerleştirilmesinin yeterli olduğu belirtilen raporda, bu yolla 4 basamaklı bir  giriş parolasının yüzde 99,3, 6 basamaklı bir parolanın ise yüzde 96,9 doğrulukla  tespit edilebildiği kaydedildi.