hadicanim
Aktif Üye
Anonim bir bilgisayar korsanı, kimlik kartının çevrimiçi kimlik belirleme işlevinde, yetkisiz kişilerin başka birinin kimliğini tamamen ele geçirmesine olanak tanıyan bir güvenlik açığı buldu. Bu, örneğin başka birinin adına hesap açmak veya idari prosedürleri tamamlamak için kullanılabilir. Bunun için saldırıya uğrayan kişinin akıllı telefonuna erişim gerekiyor ancak bu, manipüle edilmiş bir uygulama aracılığıyla elde edilebilir. Bu, resmi kimlik uygulaması aracılığıyla kimlik tespiti için iletilen PIN'in ele geçirilmesine ve saldırgana iletilmesine olanak tanıyacak. Bu ve diğer görünür bilgileri, saldırıya uğrayan kişi gibi davranmak ve onun adına harekete geçmek için kullanabilir.
Reklamcılık
Güvenlik açığının kapatılması zor
Ayrıntılı bir blog girişinde, yalnızca “CtrlAlt” takma adı altında görünen güvenlik açığını keşfeden kişi, yöntemin çevrimiçi kimlik işlevinin güvenlik zincirindeki en zayıf halkanın kullanılmasına izin verdiğini açıkladı. Orada, örneğin akıllı telefonunuzla iş bulma kurumunun web sitesini ziyaret ettiğinizde nasıl kimlik kartı uygulamasına yönlendirildiğinizi açıklıyor. Kötü amaçlı bir uygulama tarafından cihazda görünmeden ele geçirilebilen şey tam da bu derin bağlantıdır. Sadece birkaç gün önce, LastPass şifre oluşturucunun yanıltıcı bir kopyasının bulunması, böyle bir uygulamanın kullanıcılara ne kadar kolay kandırılabileceğini gösterdi. Böyle bir uygulama aracılığıyla saldırı, tüm güncellemelerin yüklü olduğu bir akıllı telefonda da mümkün olabilir.
Kendi bilgilerine göre “CtrlAlt”, Federal Bilgi Güvenliği Dairesi'ne kapsamlı belgeler sunarak bir buçuk ay süre verdi. BSI ayrıca “teknik olarak neredeyse her açıdan doğru” olan açıklamayı da kabul etti. Ancak CVE-2024-23674 CVE ID'li kritik güvenlik açığı doğrudan yazılım veya donanımda bulunamadığı için herhangi bir şekilde tepki vermeyi gerekli görmüyorlar. Bunun yerine cihazlarının güvenliğini sağlamanın kullanıcılara bağlı olduğu belirtiliyor. Bunun sorumsuzluk olduğunu “CtrlAlt” eleştiriyor, çünkü bunun için yapılan öneriler bu özel durumda hiç yardımcı olmayacak.
CtrlAlt, “Kullanıcıların güvenlik tavsiyelerine uyarak bu tür bir saldırıyı önleyebilecekleri iddiası yanlıştır” diyor. Birkaç olası saldırı yolunu belgeledi, ancak BSI'nın önerileri yalnızca birine karşı yardımcı olacaktı. Bunun yerine, ilk karşı önlem olarak, eID işlevine sahip tüm güvenli uygulamaların resmi bir listesinin kamuya açıklanması gerektiğini öne sürüyor. Bu, en azından potansiyel olarak sahte yazılımların tespit edilmesini kolaylaştıracaktır. Spiegel'e göre BSI, en azından bu konuyu araştıracağını duyurdu. Sorun, Android ve iOS uygulama mağazalarının zorla açılmasıyla daha da kötüleşebilir ve bu da tehlikeli uygulamaların tanıtılmasını kolaylaştırabilir. “CtrlAlt”ın gerçek etkisizleştirmeye yönelik herhangi bir önerisi yoktur.
Güncelleme
16 Şubat 2024
14:05
Saat
BSI şimdi de tepkisini yayınladı ve hacker'a yapılan açıklamaları tekrarladı. Federal Ofis artık çevrimiçi olarak çalışacağını bir kez daha doğruladı: “BSI açısından bakıldığında, kimlik kartı uygulamasında herhangi bir güvenlik açığı yok.”
(mho)
Haberin Sonu
Reklamcılık
Güvenlik açığının kapatılması zor
Ayrıntılı bir blog girişinde, yalnızca “CtrlAlt” takma adı altında görünen güvenlik açığını keşfeden kişi, yöntemin çevrimiçi kimlik işlevinin güvenlik zincirindeki en zayıf halkanın kullanılmasına izin verdiğini açıkladı. Orada, örneğin akıllı telefonunuzla iş bulma kurumunun web sitesini ziyaret ettiğinizde nasıl kimlik kartı uygulamasına yönlendirildiğinizi açıklıyor. Kötü amaçlı bir uygulama tarafından cihazda görünmeden ele geçirilebilen şey tam da bu derin bağlantıdır. Sadece birkaç gün önce, LastPass şifre oluşturucunun yanıltıcı bir kopyasının bulunması, böyle bir uygulamanın kullanıcılara ne kadar kolay kandırılabileceğini gösterdi. Böyle bir uygulama aracılığıyla saldırı, tüm güncellemelerin yüklü olduğu bir akıllı telefonda da mümkün olabilir.
Kendi bilgilerine göre “CtrlAlt”, Federal Bilgi Güvenliği Dairesi'ne kapsamlı belgeler sunarak bir buçuk ay süre verdi. BSI ayrıca “teknik olarak neredeyse her açıdan doğru” olan açıklamayı da kabul etti. Ancak CVE-2024-23674 CVE ID'li kritik güvenlik açığı doğrudan yazılım veya donanımda bulunamadığı için herhangi bir şekilde tepki vermeyi gerekli görmüyorlar. Bunun yerine cihazlarının güvenliğini sağlamanın kullanıcılara bağlı olduğu belirtiliyor. Bunun sorumsuzluk olduğunu “CtrlAlt” eleştiriyor, çünkü bunun için yapılan öneriler bu özel durumda hiç yardımcı olmayacak.
CtrlAlt, “Kullanıcıların güvenlik tavsiyelerine uyarak bu tür bir saldırıyı önleyebilecekleri iddiası yanlıştır” diyor. Birkaç olası saldırı yolunu belgeledi, ancak BSI'nın önerileri yalnızca birine karşı yardımcı olacaktı. Bunun yerine, ilk karşı önlem olarak, eID işlevine sahip tüm güvenli uygulamaların resmi bir listesinin kamuya açıklanması gerektiğini öne sürüyor. Bu, en azından potansiyel olarak sahte yazılımların tespit edilmesini kolaylaştıracaktır. Spiegel'e göre BSI, en azından bu konuyu araştıracağını duyurdu. Sorun, Android ve iOS uygulama mağazalarının zorla açılmasıyla daha da kötüleşebilir ve bu da tehlikeli uygulamaların tanıtılmasını kolaylaştırabilir. “CtrlAlt”ın gerçek etkisizleştirmeye yönelik herhangi bir önerisi yoktur.
Güncelleme
16 Şubat 2024
14:05
Saat
BSI şimdi de tepkisini yayınladı ve hacker'a yapılan açıklamaları tekrarladı. Federal Ofis artık çevrimiçi olarak çalışacağını bir kez daha doğruladı: “BSI açısından bakıldığında, kimlik kartı uygulamasında herhangi bir güvenlik açığı yok.”
(mho)
Haberin Sonu