Mobil güvenlik uzun süredir uygulamaların ve hizmetlerin bir cihazla nasıl etkileşimde bulunduğuna ilişkin sıkı kontrole bağlıydı. Siber Güvenlik Politikası ve Hukuk Merkezi’nin yeni bir makalesi, Avrupa Birliği’nin Dijital Pazarlar Yasası’nın mobil platformları temel işlevleri dış geliştiricilere açmaya zorlamasıyla bu kontrolün zayıflayabileceği konusunda uyarıyor.
Zorlanma altındaki mobil korumalar
Raporda, DMA’nın büyük platform sağlayıcılarının, işletim sisteminin derinliklerinde yer alan mobil donanım ve yazılım özellikleriyle ücretsiz birlikte çalışabilirliği desteklemesi gerektiği açıklanıyor. Bu dahili işlevler hiçbir zaman açık erişim için tasarlanmamıştır. Bu tek gereksinim, daha fazla sistem bileşeni açığa çıktıkça büyüyen bir dizi riski beraberinde getirir.
Endişelerden biri yeni giriş noktalarının yaratılmasıdır. Mobil işletim sistemleri, bellek ve donanıma erişimi sınırlandırır çünkü bu alanlar güvenilir kontrollerin temelini oluşturur. Bunları açmak, saldırganların hassas yollara ulaşma şansını artırır. Rapor, gelişmiş casus yazılımlar tarafından kullanılan gizli arayüzler gibi örneklere işaret ediyor ve bu örnekler, sistem tasarımındaki küçük çatlakların ne kadar geniş çapta tehlikeye yol açabileceğini gösteriyor.
Belgede ayrıca veri bütünlüğüne yönelik riskler de vurgulanıyor. Geliştiriciler, birlikte çalışabilirlik ararken geniş erişim kategorileri talep edebilir. Meşru görünen istekler, bildirim ayrıntıları veya bağlantı geçmişi gibi hassas içeriklerin alınmasına yine de izin verebilir. Zayıf izin sınırları, kötü amaçlı uygulamaların mesajları okumasına ve şifreleri ele geçirmesine izin veren Android’deki erişilebilirlik özelliklerinin kötüye kullanılması da dahil olmak üzere geçmişte gizlilik olaylarına yol açtı. Raporda, DMA isteklerinin mevcut izin sistemlerini atlaması durumunda benzer risklerin ortaya çıkabileceği belirtiliyor.
Mobil platformlar için stabilite endişeleri
Araştırmacılar genel sistem sağlığıyla ilgili endişeleri anlatıyor. Mobil işletim sistemleri merkezi yönetime ve öngörülebilir kod yollarına dayanır. Üçüncü taraflar daha derin erişim elde ettiğinde sistemin istikrarsızlığı olasılığı artar. Raporda, bir güvenlik satıcısının yanlış yapılandırılmış bir güncellemesinin dünya çapındaki bilgisayarları kesintiye uğrattığı 2024 olayından bahsediliyor. Mobil sistemler, düşük seviyeli erişimi sınırlayan yerleşik mimari kontroller nedeniyle kesintiyi önledi. DMA gereksinimlerinin bu izolasyonu aşındırabileceği endişesi var.
Mimarideki değişiklikler yeni tedarik zinciri kaygılarını beraberinde getiriyor. Mobil platformlar, temel yazılım ve güncelleme mekanizmalarına müdahale edilmesini önlemek için savunmayı derinlemesine kullanır. İncelenmemiş bileşenleri bu katmanlara getiren birlikte çalışabilirlik talepleri, saldırganlar için yeni fırsatlar yaratabilir. Platform çeşitliliği sorunu daha da karmaşık hale getiriyor çünkü Android ve iOS, güvenlik özelliklerini farklı şekillerde uyguluyor. Bu farklılıkları hesaba katmayan tek tip bir kural, yerleşik korumaları zayıflatacak teknik değişiklikler getirebilir.
Kimlik doğrulama başka bir zorluğu da beraberinde getirir. Mobil cihazlar, hassas eylemleri korumak için donanım destekli kimlik kontrollerine güvenir. Korunan özelliklerle etkileşimde bulunmak için üçüncü tarafların jeton veya kimlik bilgileri alması gerekiyorsa, bu kimlik sistemlerinin gücü düşebilir. Bu kontrollerdeki herhangi bir zayıflamanın geniş etkisi olacaktır çünkü telefondaki tüm uygulama ve verilerin temelinde cihaz güven modeli yatmaktadır.
Uzun vadeli baskıyı artıran teknik engeller
Rapor, birlikte çalışabilirliğin mühendislik karmaşıklığını beraberinde getirdiğini vurguluyor. Her yeni entegrasyon yolu, test edilecek ve bakımı yapılacak daha fazla kod sunar. Üçüncü taraf araçlar işletim sisteminden daha hızlı gelişirse sağlayıcılar güvenlik temellerini uyumlu tutmakta zorlanabilir. DMA zaman çizelgeleri her zaman teknik gerçeklikle eşleşmez ve dengesiz özellikleri üretime itebilir. Ayrıca DMA görevlerinin, siber güvenlik ve veri korumaya bağlı diğer AB kurallarıyla örtüştüğüne ve bunun da şirketler için kullanıcı verilerine hem erişime izin vermesi hem de bu verileri koruması gereken çelişkili gereksinimler yaratabileceğine dikkat çekiyor.
Daha güvenli bir yol için öneriler
Araştırma, politika yapıcılara ve platform sağlayıcılara yönelik rehberlikle sona eriyor. Avrupa Komisyonu’nu birlikte çalışabilirliği aynı ayrıcalıklar yerine sonuçlar açısından tanımlamaya çağırıyor. Buradaki fikir, hassas sistem bileşenlerini açığa çıkarmak yerine üçüncü tarafların gerekli işlevlere kontrollü arayüzler aracılığıyla erişmesine izin vermektir.
Makale, katmanlı bir erişim modeli önermektedir. Düşük riskli özellikler kayıtlı geliştiricilerin kullanımına sunulacaktır. Daha hassas özellikler daha güçlü kontroller ve incelemeler gerektirecektir. Bu modeli desteklemek için rapor, herhangi bir yeni birlikte çalışabilirlik arayüzü yayına girmeden önce zorunlu güvenlik etki değerlendirmelerinin yapılması çağrısında bulunuyor. Bu değerlendirmeler veri korumayı, tedarik zinciri endişelerini, tehdit modellemeyi ve olası kullanıcı etkisini kapsayacaktır.
Makalede ayrıca uçtan uca şifrelemenin korunmasının ve veri minimizasyonunun sürdürülmesinin önemi vurgulanıyor. Her birlikte çalışabilirlik özelliği, veri erişiminin neden gerekli olduğunu ve bunun nasıl sınırlandırılacağını açıklayan açık bir ifadeyle birlikte gelmelidir.
Son olarak rapor, AB siber güvenlik standartlarına uyumu teşvik ediyor. ENISA’nın, kararların teknik riskleri ve mevcut tehdit istihbaratını yansıttığından emin olmak için birlikte çalışabilirlik taleplerinin değerlendirilmesine yardımcı olması gerektiğini öne sürüyor. Bu yaklaşım, kapı denetleyicilerinin ve düzenleyicilerin DMA görevleri ile diğer güvenlik kuralları arasındaki gerilimleri çözmelerine yardımcı olacaktır.
Birlikte çalışabilirlik bir politika tartışmasından doğrudan bir güvenlik kaygısına dönüşüyor. DMA, mobil platformların kimlik kontrollerini nasıl yapılandıracağını, üçüncü taraf riskini nasıl yöneteceğini ve veri korumayı nasıl uygulayacağını etkileyecektir. Araştırma, yeni erişim yolları rutin hale gelmeden önce bu değişikliklere yönelik planlamanın şimdi başlaması gerektiğine işaret ediyor.