Akıllı telefonları kafe metrobüs havaalanı gibi ortamlarda şarj etmek oldukça riskli

Kaspersky'dan haftalık bir rapor daha: ortak alanlarda şarj edilen cihazların verileri tehlike altında.

Kaspersky Lab uzmanları deneylerinde, akıllı telefonların bilgisayara bağlı standart bir USB bağlantısı ile şarj edildiklerinde tehlikeye girebileceklerini keşfetti. Araştırmacılar şimdi, böyle bir durumda etkilerin neler olabileceğini değerlendiriyor.

Bu araştırmanın bir parçası olarak şirketin uzmanları, cihaz şarj amacıyla bir PC'ye veya Mac'e bağlandığında cihazın harici olarak hangi veri transferlerinde bulunduğunu anlamak için çeşitli Android sürümleri ve iOS işletim sistemleri ile çalışan bir dizi akıllı telefonu test etti. Test sonuçları 'el sıkışması' (cihaz ile bağlı olduğu PC arasındaki tanışma işlemi) esnasında, cihaz tarafından cihaz adı, cihaz üreticisi, cihaz türü, seri numarası, işletim sistemi bilgisi, dosya sistemi/dosya listesi, elektronik çip kimliği dahil bir sürü verinin teşhir edildiğini ortaya koydu. El sıkışma sırasında gönderilen veri miktarı cihaza ve ana bilgisayara bağlı olarak değişmekle birlikte tüm akıllı telefonların transfer ettiği standart bazı bilgiler bulunuyor; cihaz adı, üretici, seri numarası vb. gibi.

Akıllı telefonlar hemen hemen her zaman sahibine eşlik ettiğinden ötürü, daha sonra kullanmak amacıyla bu tür verileri toplamak isteyen herhangi bir üçüncü taraf için benzersiz bir tanımlayıcı olarak hizmet ederler. Bir saldırganın bilinmeyen bir bilgisayara veya şarj cihazına bağlı bir cihaz ile tek yapabileceği birkaç benzersiz tanımlayıcıyı toplamak olsaydı bir sorun olmazdı.

2014 yılında, Black Hat konferansında, bir cep telefonunu yalnızca sahte bir şarj istasyonuna takarak telefonun kötü amaçlı yazılım ile entegre olabileceğini açıklayan bir tehlikeden bahsedilmişti. Şimdi, yani yapılan ilk açıklamadan iki yıl sonra, Kaspersky Lab uzmanları bu sonuca tekrar ulaştı. Bir dizi özel komut (AT komutları) ile donatılmış normal bir PC ve standart bir mikro USB kablosu kullanan uzmanlar, bir akıllı telefona bir kök uygulamayı sessizce yüklemeyi başardı. Bu da hiçbir kötü amaçlı yazılım kullanılmamış dahi olsa, akıllı telefonun gizliliğinin bozulduğu anlamına geliyor.

Sahte şarj istasyonlarına dair gerçek olaylar hakkında hiçbir bilgi yayınlanmamış olmasına rağmen, geçmişte bir bilgisayara bağlı mobil cihazlardan veri çalındığı durumlarla karşılaşıldı.

Örneğin bu teknik, 2013 yılında Red October casusluk operasyonunun bir parçası olarak kullanıldı. Aynı zamanda Hacking Team grubu da bir mobil cihaza kötü amaçlı yazılım yüklemek için bir bilgisayar bağlantısı kullandı. Bu tehdit aktörlerinin her ikisi de, akıllı telefon ve bağlı olduğu PC arasındaki sözde güvenli ilk veri alışverişinden yararlanmanın bir yolunu bulmuştu. Bağlı cihazdan alınan kimlik verilerini kontrol eden korsanlar, kurbanın hangi cihaz modelini kullandığını ve özel olarak seçilmiş bir açıklardan yararlanan yazılımı ile saldırılarını ilerletmenin yolunu keşfetmeyi başardılar. Bu, akıllı telefonlar bir USB portuna bağlandıklarında bağlandıkları PC ile otomatik olarak veri alışverişinde bulunmasaydı bu kadar kolay olmazdı.

Cihazınızı şarj etmek için yalnızca güvenilir USB şarj noktalarını ve bilgisayarları kullanın;
Cep telefonunuzu bir şifre ile ya da parmak izi tanıma gibi başka bir yöntemle koruyun ve şarj sırasında kilidini açmayın;
Verilerinizi korumak için şifreleme teknolojilerini ve güvenli kapsayıcıları (hassas bilgileri izole etmek için mobil cihazlarda bulunan korumalı alanlar) kullanın;
Hem mobil cihazınızı hem de PC veya Mac'inizi kanıtlanmış bir güvenlik çözümü ile kötü amaçlı yazılımlara karşı koruyun. Bu çözümler, "şarj" sırasında ortaya çıkan güvenlik açığı durumunda kötü amaçlı yazılımın tespit edilmesine yardımcı olacaktır.

kaynak

Etiketler: kaspersky
reklam

Yorumlar

Yorumunuzu yazın

Yorumunuzu bizimle paylaşabilirsiniz

GÜNCEL İÇERİKLER
reklam

Popüler İçerikler

reklam