Cihazınızı havaalanları, kafeler, parklar ve toplu taşıma araçlarında bulunan ve herkesin kullanımına açık şarj noktalarına bağladığınızda akıllı telefonunuzun ve verilerinizin ne kadar güvende olduğunu hiç merak ettiniz mi? Mobil cihazınız şarj olurken bu şarj noktaları ile ne ve ne kadar veri alışverişinde bulunuyor biliyor musunuz?
Uzmanlar deneylerinde, akıllı telefonların bilgisayara bağlı standart bir USB bağlantısı ile şarj edildiklerinde tehlikeye girebileceklerini keşfetti. Araştırmacılar şimdi, böyle bir durumda etkilerin neler olabileceğini değerlendiriyor.
Bu araştırmanın bir parçası olarak şirketin uzmanları, cihaz şarj amacıyla bir PC’ye veya Mac’e bağlandığında cihazın harici olarak hangi veri transferlerinde bulunduğunu anlamak için çeşitli Android sürümleri ve iOS işletim sistemleri ile çalışan bir dizi akıllı telefonu test etti. Test sonuçları ‘el sıkışması’ (cihaz ile bağlı olduğu PC/Mac arasındaki tanışma işlemi) esnasında, cihaz tarafından cihaz adı, cihaz üreticisi, cihaz türü, seri numarası, işletim sistemi bilgisi, dosya sistemi/dosya listesi, elektronik çip kimliği dahil bir sürü verinin teşhir edildiğini ortaya koydu. El sıkışma sırasında gönderilen veri miktarı cihaza ve ana bilgisayara bağlı olarak değişmekle birlikte tüm akıllı telefonların transfer ettiği standart bazı bilgiler bulunuyor; cihaz adı, üretici, seri numarası vb. gibi.
Telefonlar Ajan Gibi…
Akıllı telefonlar hemen hemen her zaman sahibine eşlik ettiğinden ötürü, daha sonra kullanmak amacıyla bu tür verileri toplamak isteyen herhangi bir üçüncü taraf için benzersiz bir tanımlayıcı olarak hizmet ederler. Bir saldırganın bilinmeyen bir bilgisayara veya şarj cihazına bağlı bir cihaz ile tek yapabileceği birkaç benzersiz tanımlayıcıyı toplamak olsaydı bir sorun olmazdı.
2014 yılında, Black Hat konferansında, bir cep telefonunu yalnızca sahte bir şarj istasyonuna takarak telefonun kötü amaçlı yazılım ile entegre olabileceğini açıklayan bir tehlikeden bahsedilmişti. Şimdi, yani yapılan ilk açıklamadan iki yıl sonra, Kaspersky Lab uzmanları bu sonuca tekrar ulaştı. Bir dizi özel komut (AT komutları) ile donatılmış normal bir PC ve standart bir mikro USB kablosu kullanan uzmanlar, bir akıllı telefona bir kök uygulamayı sessizce yüklemeyi başardı. Bu da hiçbir kötü amaçlı yazılım kullanılmamış dahi olsa, akıllı telefonun gizliliğinin bozulduğu anlamına geliyor.
Sahte şarj istasyonlarına dair gerçek olaylar hakkında hiçbir bilgi yayınlanmamış olmasına rağmen, geçmişte bir bilgisayara bağlı mobil cihazlardan veri çalındığı durumlarla karşılaşıldı.
Örneğin bu teknik, 2013 yılında Red October casusluk operasyonunun bir parçası olarak kullanıldı. Aynı zamanda Hacking Team grubu da bir mobil cihaza kötü amaçlı yazılım yüklemek için bir bilgisayar bağlantısı kullandı. Bu tehdit aktörlerinin her ikisi de, akıllı telefon ve bağlı olduğu PC arasındaki sözde güvenli ilk veri alışverişinden yararlanmanın bir yolunu bulmuştu. Bağlı cihazdan alınan kimlik verilerini kontrol eden korsanlar, kurbanın hangi cihaz modelini kullandığını ve özel olarak seçilmiş bir açıklardan yararlanan yazılımı ile saldırılarını ilerletmenin yolunu keşfetmeyi başardılar. Bu, akıllı telefonlar bir USB portuna bağlandıklarında bağlandıkları PC ile otomatik olarak veri alışverişinde bulunmasaydı bu kadar kolay olmazdı.
