Sophos’taki siber güvenlik uzmanları, yakın zamanda App Store ve Google Play’de kötü amaçlı yazılım dağıtan çok sayıda kötü amaçlı 2FA uygulaması tespit etti.
Twitter, kısa süre önce SMS tabanlı iki faktörlü kimlik doğrulamanın (2FA) artık yeterince güvenli olmadığını belirten bir duyuru yaptı.
Bu önemli değişiklikten en çok etkilenenler, Twitter’ın premium hizmeti Twitter Blue’yu seçen ve erişimlerini ve tweet uzunluklarını artırmak için bir doğrulanmış rozeti satın alan kullanıcılardır.
Oynamak için ödeme yapan kullanıcılar söz konusu olduğunda, iki faktörlü kimlik doğrulama kodlarını kısa mesajlarla (SMS) almaya devam edebilecekler.
Önümüzdeki üç hafta içinde, kullanıcıların geri kalanının 17 Mart 2023’ten önce farklı bir 2FA sistemine geçmesi gerekiyor. Twitter’ın yeni güvenlik gereksinimlerini karşılamak için geçerli bir çözüm, benzersiz bir tek seferlik kod dizisi oluşturan özel bir uygulama kullanmaktır. bir şifreleme algoritması ile tohumlanmıştır.
Alternatif olarak kullanıcılar, kimliklerini doğrulamak için gerekli kriptografik işlevleri yerine getiren Yubikey gibi fiziksel bir donanım belirteci de kullanabilir.
Güvenilir 2FA Uygulamaları
iPhone kullanıcıları için, iOS işletim sistemindeki yerleşik şifre yöneticisi, çok sayıda web sitesi için 2FA kodları oluşturabilir. Bu, kullanıcıların herhangi bir ek yazılım indirme ve yükleme ihtiyacını ortadan kaldırarak süreci basit ve sorunsuz hale getirir.
Android kullanıcıları için Google, resmi Google Play mağazasından indirilebilen, uygun bir şekilde Google Authenticator adlı kendi kimlik doğrulayıcı uygulamasını sağlar.
Bu uygulama, 2FA kimlik doğrulama amaçları için benzersiz kodlar üretebilir ve bu da onu uygun özgünlüğe sahip gelişmiş güvenlik önlemleri arayan kullanıcılar için uygun ve güvenilir bir çözüm haline getirir.
Önemli sayıda kullanıcının indirilebilecek alternatif kimlik doğrulayıcı uygulamaları hakkında soru sormuş olabileceğini varsaymak mantıklıdır. Bu merak, güvenlik önlemlerini çeşitlendirme ihtiyacından kaynaklanmaktadır ve yalnızca Apple veya Google’ın siber güvenlik protokollerine bağlı değildir.
Çok sayıda saygın şirket, ücretsiz, güvenilir ve basit işlevsellik sunan kimlik doğrulayıcı yardımcı programlar sunar. Bu kimlik doğrulama uygulamaları, yalnızca herhangi bir ek ücret veya reklam olmaksızın 2FA kodları sağlama amacına hizmet eder.
Bu, işletim sistemleriyle aynı satıcıdan olmayan bir 2FA uygulamasını kullanmayı tercih eden kullanıcılar için özellikle yararlıdır.
Kötü Amaçlı 2FA Uygulamaları
Eldeki sorun, bu hizmeti sunan çok sayıda uygulamanın güvenilirliği ve etkililiğini belirlemeyi zorlaştırmasıdır.
Bu uygulamaların Apple ve Google’ın katı güvenlik protokolleri uygulayan resmi uygulama mağazalarına dahil edilmeleri yoluyla kaliteleri için onay ve takdir kazanmış olmaları karmaşıklığı artırıyor.
Twitter tarafından iki faktörlü kimlik doğrulamanın SMS yönteminin durdurulmasının ardından, uzmanlar birkaç kimlik doğrulayıcı uygulamasını analiz etti.
Güvenlik analistleri Tommy Mysk ve Talal Haj Bakry, kimlik doğrulama uygulamalarını incelediklerinde hem endişe verici hem de şaşırtıcı bulgular keşfettiler.
Soruşturma, daha önce bilmedikleri bilgileri ortaya çıkardı ve bazı kimlik doğrulayıcı uygulamalarının güvenilirliği ve etkinliği hakkında endişelere yol açtı.
Güvenlik analistleri, araştırmaları sırasında meşru kimlik doğrulama uygulamalarına çok benzeyen çok sayıda sahte uygulama keşfetti. Bu uygulamalar, kullanıcıları kandırarak yıllık 40 ABD dolarına mal olan bir hizmete abone olmaları için tasarlanmıştır.
Bu sahte uygulamaların varlığı, bir kimlik doğrulama uygulaması seçerken dikkatli değerlendirmenin önemini vurgulamaktadır, çünkü bunun saygın bir kaynaktan olduğundan emin olmak çok önemlidir.
Neredeyse aynı ikili kodlara sahip dört doğrulayıcı uygulama belirlediler. Bu benzerlik, bu uygulamaların aynı varlık veya grup tarafından geliştirilmiş olabileceğini düşündürmektedir.
Ayrıca, inceleme sırasında analistler, taranan tüm QR kodlarını geliştiricinin Google Analytics hesabına gönderen ve kullanıcı verilerinin güvenliği ve gizliliğiyle ilgili endişeleri artıran bir kimlik doğrulama uygulaması da keşfettiler.
Güvenlik analistleri tarafından yürütülen araştırmaya göre, bu kategorideki sahte uygulamaların, kullanıcıları 20 ila 40 ABD Doları arasında değişen yıllık abonelik ücreti ödemeye ikna etmeye çalıştığı görülüyor.
Bununla birlikte, bu miktarın, birkaç yıl sürmesi muhtemel ve daha fazla güvenlik sunan saygın bir donanım 2FA belirteci satın alma maliyetiyle karşılaştırılabilir olduğunu belirtmekte fayda var.
App Store’da yaptıkları arama sırasında, kötü yazılmış gibi görünen ve çok sayıda gramer hatası içeren bir açıklamaya sahip bir uygulamayla karşılaştılar.
İlginç bir şekilde, uygulama, muhtemelen yasal ve güvenilir görünme girişimi olan, tanınmış bir Çinli cep telefonu markasının adını kullanan bir şirket tarafından geliştirildi.
Dolandırıcı olduğundan şüphelenilen kişilerin, kullanma yetkileri olmayan bir adı kullanarak bir Apple kod imzalama sertifikası alabilmeleri şaşırtıcıdır.
Google Play’de 2FA uygulamaları için yapılan bir aramada ortaya çıkan en yüksek dereceli uygulama, yalnızca gereksiz ücretler almakla kalmıyor, aynı zamanda 2FA için kurulan hesapların ilk sırlarını da izinsiz olarak alıyor.
Öneri
Oluşturulan bir kodu tek seferlik kullanmak güvenlidir çünkü seed’in tersine mühendislik yapma potansiyeli yoktur, sonuç olarak seed her zaman bir sır olarak kalmalıdır.
Kullanıcının oturum açmaya çalıştığı zamanla eşleşen doğru bir kod sağladığını doğrulamak için, erişmeye çalıştıkları hizmet çekirdeğinin bir kopyasını gerektirir.
Twitter’ın duyurusundan sonra, yakın zamanda bir kimlik doğrulama uygulaması indirdiyseniz, seçiminizi gözden geçirmeniz ve güvenilir bir uygulama seçtiğinizden emin olmanız önerilir.
Kontrol etmeniz gereken şeyler: –
- Bunun için bir abonelik ödemeye zorlandı.
- Uygulama reklamlarla dolu.
- Uygulama, hayattan daha büyük pazarlama ve parlak incelemelerle birlikte gelir, ancak daha önce hiç duymadığınız bir şirketten gelir.
- İkinci kez düşünmek ve bir şey bu konuda doğru gelmiyor.
Yeni bir kimlik doğrulama uygulamasına geçerken, önceki uygulamayla ilişkilendirdiğiniz tüm hesaplar için tüm 2FA tohumlarını sıfırlamanız gerekeceğini unutmamak önemlidir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin