AB’nin yeni kimlik doğrulama uygulaması 2 dakikada hacklendi

0

BEĞENDİM

ABONE OL

News

0

Bildiğiniz üzere son günlerde dünyanın dört bir yanında internet üzerindeki denetim sıkılaştırılıyor. Bir yandan 18 yaş altına makul sınırlamalar getirilirken, öbür yandan yaş tespiti için kimlik doğrulama uygulamaları devreye sokuluyor. Hakikaten bu hafta Avrupa Birliği de bu akıma katıldı. Avrupa Kurulu, kullanıcıların şahsî datalarını paylaşmadan yaşlarını kanıtlamasını sağlayacak yeni bir uygulamayı devreye soktu. Lakin bu sistem, daha yayına girmesinin üzerinden 48 saat bile geçmeden güvenlik açıklarıyla gündeme taşındı.

14 Nisan’da kullanıma sunulan Dijital Yaş Doğrulama Uygulaması, kullanıcıların pasaport yahut kimlik kartı aracılığıyla yaşlarını doğrulamasını sağlıyor. Avrupa Komisyonu Başkanı Ursula von der Leyen, uygulamayı tanıtırken bunu “yüksek zımnilik standartlarına sahip, kullanıcı dostu bir çözüm” olarak nitelendirmişti. Lakin sistemin güvenliği konusunda ortaya çıkan bulgular, bu argümanlı açıklamalara gölge düşürdü. İngiltere merkezli güvenlik danışmanı Paul Moore, uygulamanın kimlik doğrulama sistemini iki dakikadan kısa müddette büsbütün devre dışı bırakmayı başardı.

Sistem Hackerların Suistimal Edebileceği Birden Fazla Açığa Sahip

AB’nin yaş doğrulama uygulamasında kullanıcıdan alınan PIN kodu şifrelenerek aygıt üzerindeki “shared_prefs” isimli mahallî bir evrakta saklanıyor. Paul Moore, bu yapıda iki temel mimari kusur bulunduğunu ortaya koydu: Şifrelenmiş PIN, kimlik doğrulama bilgilerini tutan sistemle kriptografik olarak temaslı değil ve kullanılan şifreleme prosedürü, evrakın kolaylıkla düzenlenebilmesi nedeniyle pratikte hiçbir güvenlik sağlamıyor. Bu açık, fizikî erişimi olan bir saldırganın ilgili belgedeki PinEnc ve PinIV kıymetlerini silerek uygulamayı sıfırlamasına ve kendi belirlediği yeni bir PIN ile sisteme giriş yapmasına imkan tanıyor. Daha da kıymetlisi, uygulama bu yeni PIN’i kabul ettikten sonra, evvelki kullanıcıya ilişkin doğrulanmış kimlik bilgilerini geçerli saymaya devam ediyor. Bu da yaş doğrulama datalarının rastgele bir ikaz tetiklemeden ele geçirilebilmesi manasına geliyor.

Sorunlar bununla da hudutlu değil. Tıpkı yapılandırma belgesinde saklanan diğer kritik güvenlik düzeneklerinin da kolay kolay manipüle edilebiliyor. Örneğin brute-force taarruzlarına karşı kullanılan sürat sınırlama sistemi, kolay bir sayaçtan ibaret ve bu sayaç sıfırlanarak sınırsız deneme yapılabiliyor. Benzeri biçimde, biyometrik doğrulamanın etkin olup olmadığını belirleyen parametre değiştirilerek bu güvenlik katmanı büsbütün devre dışı bırakılabiliyor. Ayrıyeten fizikî erişimi olmayan birinin bu sistemi aşmasını sağlayacak açıklar da bulunuyor. Uzmanlara nazaran bu durum, küçük bir yazılım kusurundan çok sistemin temel dizaynında önemli bir zafiyet olduğunu gösteriyor. 

Avrupa Komitesi, Paul Moore’un bulgularını paylaşmasının akabinde harekete geçti ve sistemde birtakım değişiklikler yaptıktan sonra uygulamanın güncellendiğini duyurdu. Lakin daha birinci günden ortaya çıkan bu problemler, yakında Avrupa Dijital Kimlik sisteminde de kullanılması planlanan bu sistemlerin ne kadar büyük sorunlara yol açabileceğini gözler önüne serdi.