3 Mart 2012 Cumartesi

Mobil Güvenlik


Mobile Security (Telefonunuzdaki Bilgiler Ne kadar Güvende?)

Yakın zamanda birbirinin peşi sıra mobil telefonlar ile ilgili zaafiyetler keşfedildi. Sadece son bir hafta içersinde Android işletim sistemi ile ve Apple cihazlarla ilgili önemli güvenlik zaafiyetleri rapor edildi. Bu da mobil cihazların güvenliğinin önemini bir kere daha gündeme getirdi.

Apple Loophole Gives Developers Access to Photos



Yukarıdaki ekran görüntüsünü iPhone kullananlar çok yakından bilir. Ancak bir çoğu bu ekranda OK seçeneğini seçtiklerinde lokasyonu ile beraber telefon defterini, resimlerini ve videolarını paylaştıklarını bilmiyor. Çıkan ekranda hiçbir zaman telefon defterini, resimlerini ve videolarını paylaşmak istiyor musun diye sormuyor. Ancak OK dediğiniz her ekranda uygulama geliştiricilerin bu bilgilere ulaşmasına izin vermiş bulunuyorsunuz.



The New York Times asked a developer, who asked not to be named because he worked for a popular app maker and did not want to involve his employer, to create a test application that collected photos and location information from an iPhone. When the test app, PhotoSpy, was opened, it asked for access to location data. Once this was granted, it began siphoning photos and their location data to a remote server. (The app was not submitted to the App Store.)

Bu zaafiyeti kullanarak PhotoSpy isimli bir yazılım yazılmış ve fotoğraflar ve içerdiği lokasyon bilgileri uzakta bir sunucuya yüklenmiş. Bu uygulama App Store gönderilmiş bir uygulama değil tabi ki.



Android bug opens devices to outside control
Android kanadında da durum pek iç açıcı değil. Genelde akıllı telefonlar üzerinde koşan işletim sistemi üzerinde telefonun kontrolünün ele geçirilmesini sağlayabilecek bir açık tespit edildi. CrowdStrike firması araştırmacıları bu açığı kullanarak Android kullanan cihazların kontrolünü nasıl ele geçirebileceklerini keşfettiklerine dair bir duyuru yaptı. Şubat sonunda yapılacak olan RSA Konferansında bunu göstereceklerini duyurdular.

Kullanıcı telefonunda güvenilir bir kaynaktan bir SMS veya mesaj geliyor ve bu mesaj bir link içeriyor. Kullanıcı bu linke tıkladığında makinesine zararlı bulaşmış oluyor. Aslında bir masaüstü bilgisayar veya notebook cihazına zararlı bir kod yüklemek için kullanılan yöntemlerden pek de farklı değil.

Kullanıcının bu linke tıklaması biraz sosyal mühendislikle kolaylıkla sağlanabilir. Peki tam olarak bu cihazın kontrolünün ele geçirilmesi ne anlama geliyor? Bizim için ne ifade ediyor? Çok basitçe tüm konuşmalarınızın dinlenebilmesi, yönlendirilebilmesi, lokasyonunuzun takip edilebilmesi, fotoğraflarınızın ve videolarınızın ele geçirilebilmesidir.


Sonuç?
Cebinizdeki telefonuz ve telefonunuzdaki bilgiler sizin için ne kadar önemli. Öncelikle sizin için hiçbir önemi yoksa bu yazıyı okumanız bile zaman kaybı. Sizin lokasyonunuzu birisinin görebilmesi, videolarınıza ve fotoğraflarınıza ve onların çekildiği lokasyona ulaşması, konuşmalarınızı dinleyebilmesi ve yönlendirebilmesi, sms ve e-mail mesajlarınızı okuyabilmesi ve hatta bankacılık işlemlerinizi görebilmesi ve hata şifrelerini alabilmesi sizin için önemli değilse içiniz rahat olabilir. Ancak bu bilgiler sizin için önemli ise bugün önlem almanız gerekiyor.

Peki ne yapmak lazım? Cep telefonunuzu kapatmak mı çözüm. Bunun bile çözüm olmadığı durumlar var. Ya da tek satırlık ekranları olan o telefonlara geri mi dönelim. Bir akıllı telefonun insanın hayatını ne kadar kolaylaştırdığını gören birisi olarak bu da benim için çözüm değil. Çözüm aslında bir masaüstü bilgisayarı veya notebook cihazını korumak için yapılması gerekenlerle benzer. Çözüm adımları daha detaylı olarak ele alınması gerekiyor. Özetle;

  • Mobil güvenlik ürünleri (antivirus ve firewall çözümleri)
  • Şifre koruması
  • Önemli bilgilerin şifrelenmesi
  • Veri kaybı/sızma önleme çözümleri
  • SMS ve arama filtreleme çözümleri
  • Uygulamalar konusunda seçici olmak
  • Çalınmaya karşı GPS özelliği ile koruma sağlamak
  • Anti-spam çözümleri





1 yorum: