AB’nin yeni kimlik doğrulama uygulaması 2 dakikada hacklendi

0

BEĞENDİM

ABONE OL

News

0

Bildiğiniz gibi son günlerde dünyanın dört bir yanında internet üzerindeki kontrol sıkılaştırılıyor. Bir yandan 18 yaş altına belirli sınırlamalar getirilirken, diğer yandan yaş tespiti için kimlik doğrulama uygulamaları devreye sokuluyor. Nitekim bu hafta Avrupa Birliği de bu akıma katıldı. Avrupa Komisyonu, kullanıcıların kişisel verilerini paylaşmadan yaşlarını kanıtlamasını sağlayacak yeni bir uygulamayı devreye soktu. Ancak bu sistem, daha yayına girmesinin üzerinden 48 saat bile geçmeden güvenlik açıklarıyla gündeme taşındı.

14 Nisan’da kullanıma sunulan Dijital Yaş Doğrulama Uygulaması, kullanıcıların pasaport veya kimlik kartı aracılığıyla yaşlarını doğrulamasını sağlıyor. Avrupa Komisyonu Başkanı Ursula von der Leyen, uygulamayı tanıtırken bunu “yüksek gizlilik standartlarına sahip, kullanıcı dostu bir çözüm” olarak nitelendirmişti. Ancak sistemin güvenliği konusunda ortaya çıkan bulgular, bu iddialı açıklamalara gölge düşürdü. İngiltere merkezli güvenlik danışmanı Paul Moore, uygulamanın kimlik doğrulama mekanizmasını iki dakikadan kısa sürede tamamen devre dışı bırakmayı başardı.

Sistem Hackerların Suistimal Edebileceği Birden Fazla Açığa Sahip

AB’nin yaş doğrulama uygulamasında kullanıcıdan alınan PIN kodu şifrelenerek cihaz üzerindeki “shared_prefs” adlı yerel bir dosyada saklanıyor. Paul Moore, bu yapıda iki temel mimari hata bulunduğunu ortaya koydu: Şifrelenmiş PIN, kimlik doğrulama verilerini tutan sistemle kriptografik olarak bağlantılı değil ve kullanılan şifreleme yöntemi, dosyanın kolayca düzenlenebilmesi nedeniyle pratikte hiçbir güvenlik sağlamıyor. Bu açık, fiziksel erişimi olan bir saldırganın ilgili dosyadaki PinEnc ve PinIV değerlerini silerek uygulamayı sıfırlamasına ve kendi belirlediği yeni bir PIN ile sisteme giriş yapmasına olanak tanıyor. Daha da önemlisi, uygulama bu yeni PIN’i kabul ettikten sonra, önceki kullanıcıya ait doğrulanmış kimlik bilgilerini geçerli saymaya devam ediyor. Bu da yaş doğrulama verilerinin herhangi bir uyarı tetiklemeden ele geçirilebilmesi anlamına geliyor.

Sorunlar bununla da sınırlı değil. Aynı yapılandırma dosyasında saklanan başka kritik güvenlik mekanizmalarının da kolayca manipüle edilebiliyor. Örneğin brute-force saldırılarına karşı kullanılan hız sınırlama sistemi, basit bir sayaçtan ibaret ve bu sayaç sıfırlanarak sınırsız deneme yapılabiliyor. Benzer şekilde, biyometrik doğrulamanın aktif olup olmadığını belirleyen parametre değiştirilerek bu güvenlik katmanı tamamen devre dışı bırakılabiliyor. Ayrıca fiziksel erişimi olmayan birinin bu sistemi aşmasını sağlayacak açıklar da bulunuyor. Uzmanlara göre bu durum, küçük bir yazılım hatasından ziyade sistemin temel tasarımında ciddi bir zafiyet olduğunu gösteriyor. 

Avrupa Komisyonu, Paul Moore’un bulgularını paylaşmasının ardından harekete geçti ve sistemde bazı değişiklikler yaptıktan sonra uygulamanın güncellendiğini duyurdu. Ancak daha ilk günden ortaya çıkan bu sorunlar, yakında Avrupa Dijital Kimlik sisteminde de kullanılması planlanan bu sistemlerin ne kadar büyük problemlere yol açabileceğini gözler önüne serdi.