- CCC, IdentifyMobile’daki açık sayesinde tek kullanımlık parola SMS’lerini gerçek zamanlı olarak görebildi; 200’den fazla şirkete ait 198 milyondan fazla SMS’in sızdığı bir vakaydı
- 2FA-SMS, yalnızca parolanın ele geçirildiği durumları engelleyen yardımcı bir önlem olsa da gerçek güvenlik büyük ölçüde SMS gönderim sağlayıcılarının yönetim seviyesine de bağlı
- IdentifyMobile; doğrulama kodlarını, alıcı telefon numaralarını, gönderen adlarını ve bazı hesap bilgilerini internete açık bıraktı; yalnızca
idmdatastoreadlı alt alan adını tahmin etmek erişim için yeterliydi - Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx, DHL gibi şirketler etkilenenler arasındaydı; yalnızca gerçek zamanlı akışla bile WhatsApp numarası ele geçirme veya finansal işlem ve servis oturumu açma girişimleri mümkün olabiliyordu
- SMS ile iki faktörlü doğrulama, yalnızca parola kullanmaktan daha iyi olsa da uygulama tabanlı tek kullanımlık parolalar veya donanım token’ları gibi mobil ağlara ve SMS operatörlerine daha az bağımlı yöntemler daha güvenli
IdentifyMobile sızıntısının ortaya koyduğu 2FA-SMS zayıflığı
- 2FA-SMS, kullanıcının bildiği parola ile telefon numarasına erişimi kanıtlayan SMS kodunu birlikte ister
- Yalnızca parolanın sızdığı durumlarda hesabın ele geçirilmesini önleyen ek bir mekanizma olarak kullanılır
- SMS, WhatsApp doğrulama kodu veya banka havalesi için TAN gibi yalnızca kısa süre geçerli kodlar içerebilir
- SMS tabanlı doğrulama zaten çeşitli saldırı yollarına açık
- SIM swapping ile SMS’ler ele geçirilebilir
- Mobil iletişim ağındaki SS7 açıkları kötüye kullanılabilir
- Kimlik avıyla kullanıcıların tek kullanımlık parolayı doğrudan teslim etmesi sağlanabilir
- CCC, 2013’ten beri SMS’in iki faktörlü doğrulama aracı olarak kullanılmamasını öneriyor
- Bu vakada saldırganın doğrudan iletişim ağını veya kullanıcıyı hedeflemesine gerek kalmadan SMS gönderim sağlayıcısı doğrulama zincirinin zayıf halkası olabiliyor
- IdentifyMobile, çeşitli şirket ve servisler için toplu SMS gönderen bir sağlayıcı
- Bu sağlayıcı SMS içeriklerine erişebiliyordu ve içeriklerde doğrulama kodları bulunuyordu
- CCC, yalnızca
idmdatastoreadlı alt alan adını tahmin ederek gerçek zamanlı verilere erişebildi
Açığın kapsamı ve gerçek risk
- Açığa çıkan veriler SMS içeriğinin yanı sıra alıcı telefon numaralarını, gönderen adlarını ve bazı durumlarda başka hesap bilgilerini de içeriyordu
- Etkilenen şirket sayısı 200’ün üzerinde; doğrudan veya başka servis sağlayıcıları üzerinden doğrulama güvenliğini IdentifyMobile’a emanet edenler buna dahil
- Google, Amazon, Facebook, Microsoft
- Telegram, Airbnb, FedEx, DHL
- Toplamda 198 milyondan fazla SMS sızdı
- Yalnızca gerçek zamanlı akışla bile birçok kötüye kullanım senaryosu mümkündü
- WhatsApp numarasını ele geçirme
- Parola biliniyorsa, telefona erişmeden finansal işlem gerçekleştirme
- Parola biliniyorsa, çeşitli servislere giriş yapma
- Gerçek kötüye kullanım için genellikle hâlâ parola gerekliydi; ancak verilerin içinde 1-click login bağlantıları da yer alıyordu
- Bazı büyük mağdur şirketlerde IdentifyMobile’ın koruduğu kapsam belirli servislerle sınırlıydı
- IdentifyMobile’ın ihmali şirketleri ve müşterilerini ciddi riske maruz bıraktı
- CCC verileri saklamadı, ancak başka kişilerin erişmiş olma ihtimali dışlanamaz
SMS yerine tercih edilebilecek doğrulama yöntemleri
- Mümkün olduğunda SMS yerine uygulamada üretilen tek kullanımlık parolalar veya donanım token’ları kullanmak daha güvenlidir
- Bu yöntemler mobil ağa bağımlı değildir
- IdentifyMobile gibi SMS gönderim sağlayıcılarına da bağımlı değildir
- Yine de iki faktörlü doğrulama, tek başına parola kullanmaktan iyidir
1 yorum
Hacker News görüşleri
Yakın zamanda bir tanıdığım Google Ads oltalamasına yakalandı; saldırgan “BANKNAME login” gibi arama terimleri için reklam satın almış, bankanın giriş sayfasını ustaca kopyalamış ve arkada yeniden iletim saldırısı yürütüyormuş.
Telefon uygulamasındaki iki aşamalı doğrulama kodunu girince ekranda reddedilip yeni kod istenmiş; ama gerçekte ikinci kod, yeni bir “pay anyone” alıcısı eklemeyi onaylayan kodmuş ve para bununla çekilmiş.
SMS ile iki aşamalı doğrulamanın protokol düzeyinde zayıf olduğunu düşünürdüm; ama bu örnekte, yeni alıcı eklerken giriştekinden farklı bir mesaj gönderen bankanın SMS yöntemi daha iyi olabilirmiş.
İdeal olarak basit bir token üretici uygulama değil; giriş token’ı ve alıcı ekleme token’ı gibi işlem türüne göre token’lar üretilmeli ve bunlar birbirinin yerine kullanılamamalı. Bu düzeyde iki aşamalı doğrulama sunan bir banka gören var mı merak ediyorum.
Belki passkey, yerel donanımla fiziksel bir bağlantı kurduğu için bu tür sorunları anlamsız hale getirebilir. Bu arada mağdur sonunda parasını geri aldı.
Güvenlik duruşunu iyileştirmek için reklam engelleyici kurmak en iyi yöntemlerden biri. Teknolojiye aşina olmayan arkadaşlarınıza veya aile üyelerinize uBlock Origin kurmanızı şiddetle öneririm.
Avustralya uygulamasının ekranını burada görebilirsiniz; ABD ve Birleşik Krallık uygulamaları da benzer: https://www.hsbc.com.au/content/dam/hsbc/au/images/ways-to-b...
HSBC bunu yıllardır sunuyor; neden hâlâ standart olmadığını ya da diğer ABD bankalarının neden benimsemediğini pek anlayamıyorum.
Buna rağmen sıradan reklamlarda bu kadar katıyken, bir bankanın kılığına giren ve o bankayı arayan insanları hedefleyen oltalama sayfasına nasıl reklam sattıklarını anlamıyorum.
“İnternet araması yaparken reklam engelleme uzantısı kullanın. Çoğu internet tarayıcısı, reklam engelleme uzantıları dâhil uzantı eklenmesine izin verir. Bu reklam engelleyiciler tarayıcı içinde açılıp kapatılabilir; böylece belirli web sitelerindeki reklamlara izin verilirken diğer yerlerdeki reklamlar engellenebilir.”
[0] https://www.ic3.gov/Media/Y2022/PSA221221
SMS ile iki aşamalı doğrulamayı zorunlu kılan şirketlerin güvenliği gerçekten umursamadığından, sadece telefon numarası istediğinden ve güvenlik tiyatrosu olarak iki aşamalı doğrulamayı öne sürüp numarayı aldıklarından uzun zamandır şüpheleniyorum.
Üstelik tanıştığınız herkese bizzat verdiğiniz bir tanımlayıcı da olduğundan, kötü bir sistem gibi görünüyor denebilir.
Yasaklardan kaçmak için yeni hesap açmayı zorlaştırır ve birden fazla hesapta görülen kötü davranışları ilişkilendirmeyi kolaylaştırır.
Spammer’ların internetin gerilemesine katkısının hafife alındığını düşünüyorum.
Desteklemesi de daha kolay.
NIST epey zamandır SMS ile iki aşamalı doğrulama kullanılmamasını açıkça söylüyor.
NIST SP 800-63B §5.1.3.3
https://pages.nist.gov/800-63-3/sp800-63b.html#pstnOOB
Müşteri: “İki aşamalı doğrulama uygulaması ne demek? Kod telefonuma gelmiyor muydu?”
Destek: “Evet, ama artık SMS ile iki aşamalı doğrulamayı desteklemiyoruz.”
Müşteri: “Ama kod telefonuma geldiğinde sorun yoktu.”
Destek: “Evet, fakat NIST SMS ile iki aşamalı doğrulama kullanılmamasını öneriyor.”
Müşteri: “NIST de ne? Bu çok sinir bozucu. Hesabıma girmem gerekiyor.”
Ne yazık ki neredeyse tüm bankalar SMS kullanmaya zorluyor. Çünkü banka uygulamaları root edilmiş telefonlarda çalışmayı reddediyor. Gerçekten harika bir güvenlik başarısı.
Benim ülkemde neredeyse tüm bankalar, SMS alternatifi olmadan uygulama tabanlı iki aşamalı doğrulamayı zorunlu kılıyor.
Ayrı bir telefon alıp taşımak istemiyorsanız, bunu istemeyen tek bir bankayı kullanmaktan başka çareniz yok.
Root edilmiş telefonlarda başka uygulamaların banka bilgilerini gözetleyip çalabilmesinin önü açılmış oluyor.
Güvenliği tehlikeye girmiş bir telefonda banka uygulamasının çalışmaması oldukça makul görünüyor.
Ancak GrapheneOS buna dahil değil; çünkü GrapheneOS’in resmi derlemelerinde root yetkisi yoktur.
Yazı, güvenlik açısından anlamları farklı iki sorunu birbirine karıştırıyor
1-click login bağlantıları endişe verici; yalnızca SMS erişimiyle WhatsApp gibi hizmetler ele geçirilebilir
Ancak 2 aşamalı doğrulama kodları görece daha az kaygı verici. İkinci faktör oldukları için saldırganın parolaya da ihtiyacı vardır
Böyle bir durumda SMS kullanımı ve ele geçirme riski konusunda çok daha az endişelenirim
Birleşik Krallık'ta neredeyse tüm çevrimiçi bankacılık işlemleri artık SMS ile doğrulanıyor gibi görünüyor. Görünüşe göre yasa gereği isteniyor ve önceki banka kartı + kart okuyucu + PIN doğrulama sisteminin yerini aldı
Eski yöntem yalnızca daha güvenli olmakla kalmıyor, sinyal çeken ve düzgün çalışan bir telefona da bağlı değildi
Bir gün bunun korkunç bir hata olduğunun kabul edilip düzeltileceğini umuyorum ama beklentim yüksek değil
Çevrimdışıyken kart okuyucunun yararlı olduğuna katılıyorum. Ama o cihazı yanıma almayı neredeyse hiç hatırlamadığım için seyahat sırasında sık sık takılıyordum
İsveç bu sorunu uzun zaman önce BankID ile çözdü
https://en.wikipedia.org/wiki/BankID
Kamu kurumlarıyla özel kurumlar biraz iş birliği yaptığında neler başarılabildiği şaşırtıcı. Devlet hizmetlerinde ve çoğu bankada oturum açma ve 2 aşamalı doğrulama için tek yöntem bu ve iyi çalışıyor
Her ülkede böyle bir sistem olmamasına, dahası AB genelinde böyle bir sistem olmamasına inanmak zor
Yine de beklentimi çok yüksek tutmuyorum
https://ec.europa.eu/digital-building-blocks/sites/display/E...
S3 bucket'taki mesajlar 5 dakikada bir yenilenmiş gibi görünüyor: https://www.zeit.de/digital/datenschutz/2024-07/it-sicherhei...
Ancak CCC'nin bunu yalnızca 2FA-SMS'e özgü bir sorun olarak tanımlaması yanlıştı. Etkilenen yalnızca Twilio Verify (2 aşamalı doğrulama API'si) değil, bu sağlayıcı üzerinden gönderilen tüm SMS'lerdi
Bu, SMS'in kendi sorunu olmaktan çok, hassas veri deposunu düzgün korumamış bir tedarikçi güvenliği sorunu gibi
Bu belirli saldırı yolu o teknolojilerde hiç yok
Çalıştığım birçok finans kurumu SMS ile 2 aşamalı doğrulama istiyor ve HOTP/TOTP seçeneği sunmuyor. Çıldırmalık