Anonim bir bilgisayar korsanı, kimlik kartının çevrimiçi kimlik belirleme işlevinde, yetkisiz kişilerin başka birinin kimliğini tamamen ele geçirmesine olanak tanıyan bir güvenlik açığı keşfetti. Bu, örneğin başka birinin adına hesap açmak veya idari prosedürleri tamamlamak için kullanılabilir. Bunun için saldırıya uğrayan kişinin akıllı telefonuna erişim gerekiyor ancak bu, manipüle edilmiş bir uygulama aracılığıyla gerçekleştirilebilir. Bu, gerçekte iletilen PIN'in ele geçirilmesine ve resmi kimlik uygulaması aracılığıyla kimlik tespiti için saldırgana iletilmesine olanak tanır. Saldırıya uğrayan kişi gibi davranmak ve onun adına hareket etmek için bu ve diğer görünür bilgileri kullanabilir.
Duyuru
Güvenlik açığının doldurulması zor
Yalnızca “CtrlAlt” takma adı altında görünen güvenlik açığını bulan kişi, ayrıntılı bir blog makalesinde, yöntemin Çevrimiçi Kimlik işlevinin güvenlik zincirindeki en zayıf halkadan yararlanılmasını mümkün kıldığını açıklıyor. Orada, örneğin akıllı telefonunuzla iş bulma kurumunun web sitesini ziyaret ettiğinizde Kimlik Kartı uygulamasına nasıl yönlendirildiğinizi açıklıyor. Kötü amaçlı bir uygulama tarafından cihazda görünmeden hacklenebilen şey tam olarak bu derin bağlantıdır. Sadece birkaç gün önce, LastPass şifre oluşturucunun aldatıcı bir kopyasının ortaya çıkması, böyle bir uygulamanın kullanıcılara ne kadar kolay dayatılabileceğini gösterdi. Böyle bir uygulama aracılığıyla saldırı, tüm güncellemelerin yüklü olduğu bir akıllı telefonda da mümkün olabilir.
Kendi bilgilerine göre “CtrlAlt” Federal Bilgi Güvenliği Dairesi'ne kapsamlı belgeler sağladı ve ona bir buçuk ay süre verdi. BSI ayrıca “hemen hemen her açıdan teknik olarak doğru” olan açıklamayı da onayladı. Ancak CVE-2024-23674 CVE ID'li kritik güvenlik açığı doğrudan yazılım veya donanımda bulunamadığı için herhangi bir şekilde tepki vermeyi gerekli görmüyorlar. Ancak cihazlarının güvenliğini sağlamanın kullanıcılara bağlı olduğunun altı çiziliyor. Bunun sorumsuzluk olduğunu “CtrlAlt” eleştiriyor, çünkü bu konuda verilen öneriler bu özel durumda hiç yardımcı olmayacak.
CtrlAlt, “Kullanıcıların güvenlik tavsiyelerine uyarak bu tür bir saldırıyı önleyebilecekleri iddiası yanlıştır” diyor. Birkaç olası saldırı yolunu belgeledi, ancak BSI'nın önerileri yalnızca birine karşı yararlı olacaktır. Bunun yerine, ilk karşı önlem olarak, eID işlevine sahip tüm güvenli uygulamaların resmi bir listesinin kamuya açıklanması öneriliyor. Bu, en azından potansiyel olarak sahte yazılımların tespit edilmesini kolaylaştıracaktır. Spiegel'e göre BSI, en azından bu yönüyle ilgileneceğini duyurdu. Sorun, tehlikeli uygulamaların tanıtılmasını kolaylaştırabilecek Android ve iOS uygulama mağazalarının zorla açılmasıyla daha da kötüleşebilir. “CtrlAlt”ın gerçek bir etkisiz hale getirme önerisi yoktur.
Güncelleme
16 Şubat 2024
14.05
Saat
Şimdi BSI da tepkisini yayınladı ve hacker'a yapılan açıklamaları yineledi. Şimdi Federal Ofis de haberi bir kez daha çevrimiçi olarak doğruladı: “BSI açısından bakıldığında, kimlik kartı uygulamasında herhangi bir güvenlik açığı yok.”
(mho)
Haberin Sonu
Duyuru
Güvenlik açığının doldurulması zor
Yalnızca “CtrlAlt” takma adı altında görünen güvenlik açığını bulan kişi, ayrıntılı bir blog makalesinde, yöntemin Çevrimiçi Kimlik işlevinin güvenlik zincirindeki en zayıf halkadan yararlanılmasını mümkün kıldığını açıklıyor. Orada, örneğin akıllı telefonunuzla iş bulma kurumunun web sitesini ziyaret ettiğinizde Kimlik Kartı uygulamasına nasıl yönlendirildiğinizi açıklıyor. Kötü amaçlı bir uygulama tarafından cihazda görünmeden hacklenebilen şey tam olarak bu derin bağlantıdır. Sadece birkaç gün önce, LastPass şifre oluşturucunun aldatıcı bir kopyasının ortaya çıkması, böyle bir uygulamanın kullanıcılara ne kadar kolay dayatılabileceğini gösterdi. Böyle bir uygulama aracılığıyla saldırı, tüm güncellemelerin yüklü olduğu bir akıllı telefonda da mümkün olabilir.
Kendi bilgilerine göre “CtrlAlt” Federal Bilgi Güvenliği Dairesi'ne kapsamlı belgeler sağladı ve ona bir buçuk ay süre verdi. BSI ayrıca “hemen hemen her açıdan teknik olarak doğru” olan açıklamayı da onayladı. Ancak CVE-2024-23674 CVE ID'li kritik güvenlik açığı doğrudan yazılım veya donanımda bulunamadığı için herhangi bir şekilde tepki vermeyi gerekli görmüyorlar. Ancak cihazlarının güvenliğini sağlamanın kullanıcılara bağlı olduğunun altı çiziliyor. Bunun sorumsuzluk olduğunu “CtrlAlt” eleştiriyor, çünkü bu konuda verilen öneriler bu özel durumda hiç yardımcı olmayacak.
CtrlAlt, “Kullanıcıların güvenlik tavsiyelerine uyarak bu tür bir saldırıyı önleyebilecekleri iddiası yanlıştır” diyor. Birkaç olası saldırı yolunu belgeledi, ancak BSI'nın önerileri yalnızca birine karşı yararlı olacaktır. Bunun yerine, ilk karşı önlem olarak, eID işlevine sahip tüm güvenli uygulamaların resmi bir listesinin kamuya açıklanması öneriliyor. Bu, en azından potansiyel olarak sahte yazılımların tespit edilmesini kolaylaştıracaktır. Spiegel'e göre BSI, en azından bu yönüyle ilgileneceğini duyurdu. Sorun, tehlikeli uygulamaların tanıtılmasını kolaylaştırabilecek Android ve iOS uygulama mağazalarının zorla açılmasıyla daha da kötüleşebilir. “CtrlAlt”ın gerçek bir etkisiz hale getirme önerisi yoktur.
Güncelleme
16 Şubat 2024
14.05
Saat
Şimdi BSI da tepkisini yayınladı ve hacker'a yapılan açıklamaları yineledi. Şimdi Federal Ofis de haberi bir kez daha çevrimiçi olarak doğruladı: “BSI açısından bakıldığında, kimlik kartı uygulamasında herhangi bir güvenlik açığı yok.”
(mho)
Haberin Sonu