Bildiğiniz üzere son günlerde dünyanın dört bir yanında internet üzerindeki denetim sıkılaştırılıyor. Bir yandan 18 yaş altına makul sınırlamalar getirilirken, öbür yandan yaş tespiti için kimlik doğrulama uygulamaları devreye sokuluyor. Gerçekten bu hafta Avrupa Birliği de bu akıma katıldı. Avrupa Kurulu, kullanıcıların şahsî bilgilerini paylaşmadan yaşlarını kanıtlamasını sağlayacak yeni bir uygulamayı devreye soktu. Fakat bu sistem, daha yayına girmesinin üzerinden 48 saat bile geçmeden güvenlik açıklarıyla gündeme taşındı.
14 Nisan’da kullanıma sunulan Dijital Yaş Doğrulama Uygulaması, kullanıcıların pasaport yahut kimlik kartı aracılığıyla yaşlarını doğrulamasını sağlıyor. Avrupa Komisyonu Başkanı Ursula von der Leyen, uygulamayı tanıtırken bunu “yüksek saklılık standartlarına sahip, kullanıcı dostu bir çözüm” olarak nitelendirmişti. Ancak sistemin güvenliği konusunda ortaya çıkan bulgular, bu tezli açıklamalara gölge düşürdü. İngiltere merkezli güvenlik danışmanı Paul Moore, uygulamanın kimlik doğrulama sistemini iki dakikadan kısa müddette büsbütün devre dışı bırakmayı başardı.
Sistem Hackerların Suistimal Edebileceği Birden Fazla Açığa Sahip
AB’nin yaş doğrulama uygulamasında kullanıcıdan alınan PIN kodu şifrelenerek aygıt üzerindeki “shared_prefs” isimli lokal bir evrakta saklanıyor. Paul Moore, bu yapıda iki temel mimari yanılgı bulunduğunu ortaya koydu: Şifrelenmiş PIN, kimlik doğrulama bilgilerini tutan sistemle kriptografik olarak ilişkili değil ve kullanılan şifreleme tekniği, evrakın kolay kolay düzenlenebilmesi nedeniyle pratikte hiçbir güvenlik sağlamıyor. Bu açık, fizikî erişimi olan bir saldırganın ilgili belgedeki PinEnc ve PinIV kıymetlerini silerek uygulamayı sıfırlamasına ve kendi belirlediği yeni bir PIN ile sisteme giriş yapmasına imkan tanıyor. Daha da değerlisi, uygulama bu yeni PIN’i kabul ettikten sonra, evvelki kullanıcıya ilişkin doğrulanmış kimlik bilgilerini geçerli saymaya devam ediyor. Bu da yaş doğrulama datalarının rastgele bir ikaz tetiklemeden ele geçirilebilmesi manasına geliyor.
Sorunlar bununla da hudutlu değil. Tıpkı yapılandırma evrakında saklanan öbür kritik güvenlik düzeneklerinin da kolay kolay manipüle edilebiliyor. Örneğin brute-force akınlarına karşı kullanılan sürat sınırlama sistemi, kolay bir sayaçtan ibaret ve bu sayaç sıfırlanarak sınırsız deneme yapılabiliyor. Emsal biçimde, biyometrik doğrulamanın faal olup olmadığını belirleyen parametre değiştirilerek bu güvenlik katmanı büsbütün devre dışı bırakılabiliyor. Ayrıyeten fizikî erişimi olmayan birinin bu sistemi aşmasını sağlayacak açıklar da bulunuyor. Uzmanlara nazaran bu durum, küçük bir yazılım yanlışından fazla sistemin temel dizaynında önemli bir zafiyet olduğunu gösteriyor.
Avrupa Kurulu, Paul Moore’un bulgularını paylaşmasının akabinde harekete geçti ve sistemde birtakım değişiklikler yaptıktan sonra uygulamanın güncellendiğini duyurdu. Lakin daha birinci günden ortaya çıkan bu meseleler, yakında Avrupa Dijital Kimlik sisteminde de kullanılması planlanan bu sistemlerin ne kadar büyük sorunlara yol açabileceğini gözler önüne serdi.
Kaynak : Donanimhaber
Kategoriler 
Popüler Yazılar 
Son Yorumlar 
İlk yorum yazan siz olun.