Bilgisayar bilimi araştırmacıları, bir saldırganın çevrimiçi hesaplara yetkisiz erişim sağladığı hesap ele geçirme saldırılarına karşı insanları savunmasız bırakan güvenlik zayıflıklarını belirlemek için yeni bir yöntem geliştirdi.
Artık çoğu cep telefonu, birbirine bağlı işletim yazılımı ve uygulamalardan oluşan karmaşık bir ekosisteme ev sahipliği yapıyor ve çevrimiçi hizmetler arasındaki bağlantılar arttıkça, bilgisayar korsanlarının güvenlik zayıflıklarından yararlanma olasılıkları da artıyor ve bu da genellikle sahipleri için feci sonuçlar doğuruyor.
“Birinin PIN kodunu öğrenmek için omzunun üzerinden bakma hilesi iyi biliniyor. Ancak saldırgan için son oyun, çok sayıda kişisel bilgi depolayan ve Amazon, Google, X, Apple Pay gibi hesaplara ve hatta banka hesaplarına erişim sağlayabilen uygulamalara erişim sağlamaktır” dedi Dr. Luca Arnaboldi , Siber Güvenlik alanında Yardımcı Doçent, Birmingham Üniversitesi.
Bu saldırıları anlamak ve önlemek için araştırmacıların, daha küçük taktiksel adımları birleştirerek karmaşık bir saldırı oluşturabilen bilgisayar korsanının aklına girmesi gerekiyordu.
Birmingham Bilgisayar Bilimleri Okulu’ndan Dr. Luca Arnaboldi, güvenlik açıklarını kataloglamanın ve hesap devralmayı modellemenin bir yolunu tanımlamak için Edinburgh Üniversitesi’nden Profesör David Aspinall, Twente Üniversitesi’nden Dr Christina Kolb ve Surrey Üniversitesi’nden Dr Sasa Radomirovic ile çalıştı. saldırılar, onları oluşturan yapı taşlarını azaltarak.
Şimdiye kadar güvenlik açıkları, telefonu, SIM kartı, uygulamaları ve her erişim aşamasını sınırlayan güvenlik özelliklerini gösteren ‘hesap erişim grafikleri’ kullanılarak araştırılıyordu.
Ancak hesap erişim grafikleri, bir saldırganın örneğin SIM kartı çıkarıp ikinci bir telefona takarak bir cihazın veya uygulamanın hesap ekosisteminden bağlantısını kestiği hesap ele geçirme işlemlerini modellemez. SMS mesajları ikinci telefonda da görüneceği için saldırgan SMS odaklı şifre kurtarma yöntemlerini kullanabilecek.
Araştırmacılar, cihazların, SIM kartların veya uygulamaların hesap ekosistemiyle bağlantısı kesildiğinde hesap erişiminin nasıl değiştiğini modellemek için yeni bir yöntem geliştirerek bu engelin üstesinden geldi.
Matematikçiler ve filozoflar tarafından kullanılan biçimsel mantığa dayanan yöntemleri, cep telefonuna ve PIN’e erişimi olan bir bilgisayar korsanının karşılaştığı seçimleri yakalıyor.
Araştırmacılar, bu yaklaşımın, güvenlik açıklarını kataloglamak isteyen cihaz üreticileri ve uygulama geliştiricileri tarafından benimsenmesini ve karmaşık bilgisayar korsanlığı saldırılarına ilişkin anlayışlarını geliştirmesini bekliyor.
Yayınlanan raporda ayrıca araştırmacıların, iPhone’daki verilere ve banka hesaplarına erişmek için kullanılan bir saldırı stratejisinin, bu tür bir saldırı yapılmamış olmasına rağmen Android’de de kopyalanabileceği yönünde spekülasyon yapan Wall Street Journal tarafından hazırlanan bir raporda öne sürülen iddialara karşı yaklaşımlarını nasıl test ettiği de ayrıntılarıyla anlatılıyor. bildirdi.
Android uygulamaları Play Store’dan yükleniyor ve kurulum için bir Google hesabı gerekiyor. Araştırmacılar bu bağlantının saldırılara karşı bir miktar koruma sağladığını buldu. Çalışmaları ayrıca iPhone için bir güvenlik düzeltmesi önerdi.
“Simülasyonlarımızın sonuçları, iPhone korsanlarının Apple Pay’e erişmek için kullandıkları saldırı stratejilerinin, Google hesabındaki güvenlik özellikleri nedeniyle Android’de Android Pay’e erişmek için kullanılamayacağını gösterdi. Simülasyonlar aynı zamanda iPhone için bir güvenlik düzeltmesi de önerdi; önceki bir şifrenin yanı sıra bir pin kullanılmasını gerektiriyordu; bu, çoğu kullanıcının memnuniyetle karşılayacağı basit bir seçimdi,” diye devam etti Arnaboldi.
Apple şimdi bunun için bir düzeltme uygulayarak iPhone kullanıcıları için yeni bir koruma katmanı sağladı.
Araştırmacılar bu alıştırmayı diğer cihazlarda (Motorola G10 Android 11, Lenovo YT-X705F Android 10, Xiaomi Redmi Note Pro 10 Android 11 ve Samsung Galaxy Tab S6 Lite Android) tekrarladı. Burada, kendi üretici hesaplarına sahip cihazların (Samsung ve Xiaomi) Apple ile aynı güvenlik açığına sahip olduğunu buldular; Google hesabı güvende kalmasına rağmen özel hesapların güvenliği ihlal edildi.
Araştırmacılar ayrıca kendi mobil cihazlarının güvenliğini test etmek için de bu yöntemi kullandılar ve beklenmedik bir sonuç elde ettiler. İçlerinden biri, karısına paylaşılan bir iCloud hesabına erişim vermenin güvenliğini tehlikeye attığını fark etti; güvenlik önlemleri olabildiğince güvenli olsa da karısının bağlantı zinciri güvenli değildi.