GrapheneOS kullandığı için yetkililere bildirilen GrapheneOS kullanıcısı

 (discuss.grapheneos.org)
2 puan yazan GN⁺ 3 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • GrapheneOS, güvenlik ve gizlilik korumalarını güçlendiren bir işletim sistemi; tartışmanın çıkış noktası, Yoti müşteri desteği yanıtı ekran görüntüsündeki “GrapheneOS çalıştıran cihazları otomatik olarak işaretleyip yetkililere ve güvenlik ekibine otomatik raporluyoruz” ifadesi oldu
  • Temel endişe şu: Yaş ve kimlik doğrulama hizmetleri yalnızca GrapheneOS kullanımını bildirim gerekçesi sayarsa, gizlilik odaklı bir işletim sistemi yüksek risk sinyali olarak değerlendirilebilir
  • Uygulamalar standart API’ler, bellek incelemesi, Hardware Attestation API ve Play Integrity üzerinden işletim sistemini ve cihaz modelini tanıyabiliyor; bunu uygulama tarafından gizlemenin pratik bir yolu yok
  • Karşı görüş ise, yalnızca bir müşteri destek temsilcisinin abartılı ifadesinden distopik bir gelecek çıkarılamayacağını; Yoti’nin özellikle GrapheneOS’u tespit edip engellemesinden ziyade Google Mobile Services kullanılmadığını algılamış olmasının daha muhtemel olduğunu savunuyor
  • Pratik yaklaşım olarak, hassas veriler içermeyen ucuz veya eski bir stock Android cihazı kimlik doğrulama ve devlet uygulamaları için ayırmak ve kimlik doğrulaması isteyen ürünleri satın almayı yeniden düşünmek öneriliyor

Olayın ortaya atılması ve ilk tepkiler

  • Yoti ile ilgili müşteri destek deneyimi ekran görüntüsünde, “Yoti’nin GrapheneOS çalıştıran cihazları otomatik olarak işaretlediği ve bu vakaları yetkililer ile güvenlik ekibine otomatik olarak bildirdiği” ifadesi yer alıyor
  • Bununla birlikte paylaşılan Reddit başlığı, Yoti’nin yaş doğrulama sürecinde GrapheneOS kullanımının sorun olarak ele alındığı deneyimle ilişkilendiriliyor
  • İtirazın odağı, GrapheneOS’un Yoti gibi hizmetler tarafından tanınıp ayırt edilebilmesi ve hizmetin bunu kolluk kuvvetlerine bildirim gerekçesi sayması halinde, yaş ve kimlik doğrulamanın yaygınlaştığı bir ortamda GrapheneOS kullanımının başlı başına bir “heatscore” haline gelebileceği endişesi
  • Bazı tepkiler, Sony’nin yaş doğrulama iş ortağını değiştirmesini umsa da bunun çok düşük bir olasılık olduğu görüşünde
  • Birleşik Krallık’taki yaş ve kimlik doğrulama eğilimi ile ilgili yasal ortamı Orwellvari ve distopik gören yorumlar da var

GrapheneOS’un tespit edilebilirliği

  • GrapheneOS cihazlarının kapsamlı exploit azaltma özellikleri nedeniyle fingerprint edilebilir olduğu belirtiliyor
    • Örneğin, başka sistemlerde bulunmayan secure exec spawning gibi koruma özelliklerinin bir yan kanal olabileceği söyleniyor
  • Uygulamalar Hardware Attestation API isteyip verifiedBootKey değerini GrapheneOS boot keys ile karşılaştırarak GrapheneOS’u tespit edebilir
  • Başka bir açıklamaya göre uygulamalar, standart API’leri kullanarak veya kendi belleğini inceleyerek çalıştığı işletim sistemini kolayca tespit edebilir
    • Bu tespit yalnızca GrapheneOS’un eklediği gizlilik ve güvenlik korumalarından kaynaklanmıyor; Android OEM’lerine göre işletim sistemi farklarının ve çalışan cihaz modelinin de belirlenebildiği ifade ediliyor
    Reklam
  • Play Integrity, Google sertifikalı donanımda Google sertifikalı stock OS çalışıp çalışmadığını doğrulayabilir; bunu yapmak için kendi içinde Hardware Attestation API kullanır ve bunu zorunlu hale getirmeyi planlar
  • Donanım hızlandırması olmayan bir sanal makinede tüm uygulamaları aynı işletim sisteminde çalıştırmak, cihaz modelini ve bare-metal ana işletim sistemini gizleyebilir; ancak yalnızca GrapheneOS böyle bir yöntem kullanırsa GrapheneOS’un kendisi gizlenmiş olmaz
    • Birçok uygulama sanallaştırma, emülasyon veya diğer müdahale biçimlerini tespit etmeye çalışır; Play Integrity API’nin temel amaçlarından biri de bunları tespit edip engellemektir

Yoti’nin yaklaşımına dair değerlendirmeler ve itirazlar

  • Bir eleştiriye göre yaş doğrulama şirketleri, güvenlik ve gizliliği gerçekten iyileştiren projelere düşmanca yaklaşabiliyor ve müşteri destek yanıtı da güvenlik ile gizliliği yalnızca suçlulara özgü gören cahilce bir tavrı yansıtıyor
  • Başka bir endişe ise kullanıcının GrapheneOS üzerinden hassas belgeler yükledikten sonra ancak bildirime konu kişinin kendisi olduğunu öğrenebilmiş olması ve Proton posta kutusundaki anonimliğinin ortadan kalkmış olabileceği yönünde
  • Güçlü karşı görüş ise bu olayın, bir müşteri destek görevlisinin saçma sapan söylemine dayanarak korku pompalanması olduğu yönünde
    • GrapheneOS kullanımı yasa dışı değil ve müşteri destek temsilcisinin bileti kapatmak için hikâye uydurmuş olma ihtimali çok yüksek görülüyor
    • Yoti’nin özellikle GrapheneOS’u tespit edip kullanımını yasaklamış olmasından ziyade, değiştirilmemiş bir Google Mobile Services işletim sistemi kullanılmadığını algılamış olmasının daha olası olduğu düşünülüyor
  • Tek bir müşteri destek çalışanının sözünden yola çıkarak distopik bir gelecek öngörmenin büyük bir sıçrama olduğu görüşü de var

Önerilen önlemler ve kullanım ayrımı

  • Pratik çözüm olarak hassas veri içermeyen ucuz ya da eski bir stock Android telefonun ayrı tutulması öneriliyor
    • Kişiler, kişisel konuşmalar içeren e-posta hesapları, mesajlaşma uygulamaları gibi unsurların bu cihaza eklenmemesi tavsiye ediliyor
    • Yalnızca kimlik doğrulama veya dayatılabilecek devlet uygulamaları için kullanılan bir “pasaport” cihazı gibi değerlendirilmesi öneriliyor
    Reklam
  • GrapheneOS cihazının tüm genel amaçlar için kullanılıp kimlik kanıtlama için kullanılmaması şeklinde bir ayrım da öneriliyor
  • Tek bir oyun konsolu için belirli bir şirkete kimlik doğrulaması yapmanın gerçekten buna değip değmediğinin yeniden düşünülmesi gerektiği söyleniyor
  • Bir şirket istenmeyen davranışları dayatıyorsa o ürünü satın almamanın olgun bir karar olacağı savunuluyor
  • Oyunların, video akış hizmetlerinin veya yetişkin içeriklerin gizlilik ve onurdan daha önemli olup olmadığının sorgulanması, kimlik tespiti isteniyorsa başka hobiler bulunması öneriliyor
  • Yaş doğrulama ve Google uygulaması zorunluluğu gibi eğilimleri geri çevirmek için yasa koyucularla iletişime geçilmesi gerektiği de dile getiriliyor

Doğrulama şüpheleri ve benzer örnekler

  • Güvenlik, gizlilik ve anonimliğin suçlular için olduğu varsayımının birçok insanda bulunduğu yorumu yapılıyor
    • Kolluk kuvvetlerinde çalışan bir tanıdığın, GrapheneOS kullandığını görünce bunu yalnızca suçluların kullandığını sandığı; çünkü gördüğü kullanıcıların hepsinin suçlu olduğu örneği aktarılıyor
    • Bunun üzerine GrapheneOS’un ne olduğu, neden kullanıldığı ve neden en iyi işletim sistemi olarak görüldüğü açıklanmış
  • İş yerinde Tor exit IP’lerinin ve e-posta aliasing alan adlarının tamamen engellenmemesi için güçlü şekilde ikna çabası gösterildiği de anlatılıyor
  • “Sadece suçlular yatak odalarını duvarların arkasına saklar” benzetmesiyle gizliliği suçlulukla ilişkilendiren düşünce eleştiriliyor
  • Kolluk kuvvetlerinde çalışan kişilerin, meslekleri ve sembolik konumları nedeniyle daha büyük hedef olabileceği; bu yüzden GrapheneOS’un faydalarından daha fazla yararlanabilecekleri söyleniyor
  • Birlikte alıntılanan Hacker News yorumu, Reddit’teki asıl gönderi sahibinin yaş doğrulama, atlatma yöntemleri ve gizlilik üzerine çok sayıda paylaşım yaptığını ve profilini gizlediğini belirterek şüphe dile getiriyor
    • Aynı yorum, şirketin e-posta yanıtı ekran görüntüsünün kolayca düzenlenmiş olabileceğini, bu yüzden hikâyenin kendisinden emin olmadığını söylüyor
    • Ayrıca bir yaş doğrulama şirketinin engellenen kullanıcıya tespit nedenini söylemeyeceği; bunun gizli bir tarifin kaynağını açıklamak gibi olacağı görüşü paylaşılıyor

İlgili okumalar

1 yorum

 
GN⁺ 3 시간 전
Hacker News görüşleri

  • Bu Reddit gönderisinin OP'si yaş doğrulama, atlatma ve gizlilikle ilgili çok sayıda gönderi paylaşmıştı ve şu anda bunları gizlemiş durumda. Bu nokta başlık altında da dile getirilince profilini gizledi, ama Google'da “reddit PaiDuck” diye aratırsanız hâlâ görülebiliyor
    Bu şirketin haklı olduğu anlamına gelmez ama sanki bu kişi birkaç yaş doğrulama şirketine karşı atlatma girişimlerini ne kadar ileri götürebileceğini test ederken engellenmiş gibi duruyor. Şirket e-posta yanıtı da ekran görüntüsü alınmadan önce kolayca düzenlenebilir olduğundan, hikâyenin kendisinin gerçek olup olmadığından da emin olmak zor. Ben bir yaş doğrulama şirketi işletiyor olsam, engellenen bir kullanıcıya neden yakalandığını asla söylemezdim. Bu, gizli tarifin kaynağını paylaşmak gibi olurdu

    • Şirket temsilcisi, GrapheneOS kullanan tüm kullanıcıları ek bir koşul olmadan bildirdiklerini söyledi. Muhtemelen bu, kişisel veriler zaten yüklendikten sonra oluyor; tam da o kısım son derece haksız
    • İnsanların kendi kayıtlarını gizleyebilmesine izin vermek gerçekten kötü bir karardı bence
      https://arctic-shift.photon-reddit.com/search

  • “Hey dostum, o işletim sistemi ehliyetin var mı?”
    Bu hikâyede şaşırtıcı olan tek şey, kullanıcının polis ziyareti alıp “suç teşkil etmeyen siber güvenlik olayı” diye suçlanmamış olması. Birleşik Krallık gerçekten berbat bir ülkeye dönüşmüş

    • Evet. Polis herkesten şifre isteyebilir ve vermezsen seni hapse atabilir
      Ben gitmeyi düşünmezdim. ABD'nin de pek çok kusuru var ama diğer ülkelerle kıyaslandığında vatandaşlık hakları açısından oldukça güçlü haklara sahip
    • Asıl nihai hedef bu ve gizliliğe karşı savaşta beni en çok korkutan da bu. İleride, gizlilik hakkını savunmaya çalışmanın kendisi bile şüphe sebebi sayılabilir
    • https://www.openbsd.org/lyrics.html#35
    • Birleşik Krallık'taki insanların bunu inkâr ettiğini görmek çok komik
    • Lütfen “Hey dostum, o işletim sistemi ehliyetin var mı?” gibi şeyler yapmayalım

  • Yetkililer benim Hacker News hesabım olduğunu öğrenirse işim biter

    • Lisede bir arkadaşıma göstermek için The Hacker's Dictionary'yi götürmüştüm ve öğretmen bunu gördü
      Birkaç hafta sonra bir hack olayı yaşandı. Tüm öğretmenlerin erişebildiği, öğrenci notlarının olduğu ortak bir tablo değiştirilmişti; bazı öğrencilerin notları yükselmiş, bazılarınınki düşmüştü. Ben de notu yükselen taraftaydım ve aramın iyi olmadığı kişiler düşen taraftaydı. Soruşturma sırasında hemen eve gönderildim ama sonunda hiçbir şey çıkmadı
      Birkaç yıl sonra bir arkadaşım, müzik öğretmeninin şifresini bulmak için kullandığı ileri düzey tekniği açıkladı: klavyenin altındaki Post-it'e yazılmış “bassoon” kelimesini görmek
    • Gerçek hikâye. 2022'de Avustralya'daki evim polis tarafından arandı. 8 ay sonra el konulan ekipmanı gelip alabileceğimi söylediler ve görevli polis, onlara şüpheli görünen maddeleri anlattı
      1. MEGA kullanımı. CSAM paylaşımında kullanıldığını söylediler
      2. Sanal makine kullanımı
      3. “Bilgisayarımda Tor var.” Kulağa saçma geliyor ama gerçekten böyle söylediler
        Gerçekten hiçbir şey bilmiyorlar. Ne kadar az anladıklarını küçümsememek lazım. Bir şeyin zararsız olduğunu açıklamanız bile onlara suç ikrarı gibi gelebilir
        Göz açıcı bir deneyimdi ve bu olaydan sonra ben ve akrabalarımın önemli bir kısmı kolluk kuvvetlerinin yetkinliğine çok daha az saygı duymaya başladı
    • Başka bir ülkedeki hackathona gittiğimde sınır görevlisine bu ismi nasıl açıklayacağımı dert etmiştim. Neyse ki konu hiç açılmadı

  • Bunun, gazetecinin itibarını ortaya koyarak doğruluğunu teyit etmesi gereken bir haber sitesi değil de, metin ekran görüntülerine bağlantı veren bir Reddit gönderisi olduğunu bir kenara bırakalım
    Herkes herhangi bir nedenle herhangi birini “yetkililere” bildirebilir. Bu, adı bile verilmeyen yetkililerin gerçekten harekete geçtiği anlamına gelmez. Ayrıca bu bir şaka değilse, Yoti'nin bu tür bildirimleri hangi kolluk birimine gönderdiğini belirtmemesi de epey tuhaf

    • “Gazetecinin itibarını ortaya koyduğu haber sitesi” mi? Bugünlerde çoğu “gazetecinin” itibarını gördün mü? Bazı Birleşik Krallık gazeteleri, Reddit veya Mumsnet gibi forum gönderilerini sık sık doğrudan yeniden yayımlıyor

  • O yanıt kalıptan üretilmiş gibi görünüyor ve “yetkililere bildirildi” kısmının da sudo aynı şeyi söylediğinde olduğu kadar gerçek olma ihtimali var

  • https://postimg.cc/3kVXKzhk

    • sudo konusunda bkz. https://xkcd.com/838/
    • sudo varsayılan olarak gerçekten bunu yapıyor. Bilgisayarımda başarısız olan kimlik doğrulama denemeleri yüzünden bana e-posta raporu gelmesinden gerçekten nefret ediyorum

  • İddiaya daha yakından bakınca, Yoti'nin asıl mesajı şuydu
    “Geçmişteki güvenlik endişeleri nedeniyle Yoti, birden fazla doğrulama girişimini ve GrapheneOS çalıştıran tüm cihazları otomatik olarak işaretler. Bu tür vakalar hem yetkililere hem de güvenlik ekibine otomatik olarak bildirilir.”
    Devamında da şöyle deniyordu
    “Ne yazık ki, bu belirli cihazda birden fazla girişim olduğu için hesap şüpheli etkinlik nedeniyle işaretlendi.”
    O zaman “and” bir yazım hatası gibi görünüyor. Ya da sistem baştan GrapheneOS cihazlarında ikiden fazla denemeye izin vermiyor olmalıydı
    Yani, GrapheneOS cihazında birden fazla doğrulama denerseniz hesap işaretleniyor demek

    • GrapheneOS'nin yeni nesil işletim sistemi olarak tanınmasını kutlarım. Eski bir Android ya da OS X olsaydı, muhtemelen sadece kafası karışmış bir baby boomer muamelesi görürdü

  • Son 15 yıldır Batı medyası durmadan “Çin” diye bağırıp çağırdı, ama böyle şeylerin Batı’da yaşanıp Çin’de hangi işletim sistemini kullanırsan kullan bir yaptırım olmadan özgür olabilmen şaşırtıcı. Neden böyle? Ne oluyor?

    • Çin çok daha farklı bir düzeyde kontrol uyguluyor. İstediğin mobil işletim sistemini kullanabilmen, onların tüm internet bağlantılarını izleyebilmesi, ne indirdiğini görebilmesi ve uygunsuz buldukları tüm içerikleri engelleyebilmesi, ayrıca buna karşı neredeyse hiç itiraz yolunun olmaması sayesinde mümkün. Üstelik insanları tutuklayıp çalışma kamplarına da gönderebiliyorlar
      Burada İngiliz polisinin davranışını savunmuyorum, ama “Çin kadar kötü” türü tekrarlar sık görülüyor ve çoğu zaman doğru olmuyor
    • Çin’le ilgili kısım doğru değil, ama Batı ülkelerinin gerçekte olduklarından çok daha özgür gösterildiği doğru
      Çin’de Xi’yi eleştiremiyor ya da protesto edemiyorsan, dünyanın geri kalanında yasaları eleştirip protesto etmeyi dene. Özellikle mahremiyet bahanesiyle yapılanları; ayrıca Birleşik Krallık’ın Facebook gönderileri yüzünden insanları hapse attığını hatırlıyorum. Bunlar ancak üçüncü dünya ülkelerinde olacak şeylerdi
      Birleşik Krallık’ın zaten övünecek pek bir şeyi yoktu, ABD de artık aynı şeyleri yapıyor ve bu çok korkutucu
      Artık hangi ülkeye seyahat edecek olsam önce sosyal hesaplarımı kontrol ediyor, havaalanında incelenebilecek şeyleri siliyorum. Bunun gelişmiş ülkelerde olmayacağı varsayılırdı
      Arkadaşlarım hâlâ o kadar da kötü olmadığını söylüyor ama son birkaç yıldır HN’de ayda bir böyle yazılar okumak düpedüz korkutucu
    • Belki de Batı’daki 50 ülkede kimse umursamıyordur ve tek istisna olan Birleşik Krallık çevrimiçi kolluk konusunda tuhaf şeyler yaptığı için böyle görünüyordur. Birleşik Krallık’ta da mahkemeler bunun için ceza vermiyor gibi; duyduğumuz şeyler yalnızca polis işlemleri
      Birleşik Krallık Brexit’ten beri ciddi biçimde geriliyor ve belki de kitlesel huzursuzluktan korkuyordur
      Çin’de rejim karşıtı faaliyet yaparsan yeniden eğitim kampına gönderilirsin. Ya da Çin’deki olaylar sadece beklenen şeyler olduğu için haber değeri taşımıyordur
    • Zaten hiçbir zaman “Batı iyi, Çin kötü” kadar basit olmadı
      ABD hükümetinin ittiği o propaganda çerçevesi neredeyse bir asır işe yaradı ama artık yaramıyor

  • O yazının yorumlarında biri, GrapheneOS’un uygulamalar tarafından nasıl tespit edilebildiği vb. konularla ilgili uzun bir SSS bağlantısı paylaşmış [1]. Neden mümkün olan her yerde stok Android/Google gibi kamufle olmaya çalışmadıklarını anlamıyorum
    [1] https://grapheneos.org/faq#:~:text=Apps%20can%20detect%20tha...

    • Amaç, alternatif işletim sistemi kullanımını normalleştirmek. Geçici çözümler arayıp sorunun kendisini gündeme getirmediğin anda, karşı tarafın pozisyonunu kabul etmiş olursun ve sonunda geçici çözümler de tükenir
      “Y üzerinden hâlâ X yapılabildiğine göre kaldırılmış sayılmaz” tarzı cevaplar, şirketlerin kapalı ekosistemleri güçlendirmesini savunan yazılarda sık sık, bazen de en üstte görülüyor. Anlık bir çözüm sunuyor ama temel sorunu çözmüyor. Keşke bunu yapmasalar
    • Bunun bir anlamı olmaz. use-after-free zafiyet azaltması etkinse, uygulama gerçekten serbest bırakma sonrası kullanım denemesi yaparak bunun varlığını doğrulayabilir. Bu azaltmayı fark ettirmemenin tek yolu onu devre dışı bırakmak olur
    • GrapheneOS, sorun çıkaran uygulamaların %0,01’ini kandırmaya değil, kullanıcının mahremiyetini ve güvenliğini artırmaya odaklanıyor
      Bu, ciddi yatırım gerektiren bir kedi-fare oyunu ve hatta daha da şüpheli görünebilir. Benimsenmeyi artırıp şirketlerin böyle aptalca kararlar almasını zorlaştırmak daha iyi. Müşteriler dile getirdikten sonra donanım tasdikinde GrapheneOS desteğini açıkça ekleyen banka uygulamaları bile gördüm
      Tespit atlatmaya adanmış tarayıcılar bile sürekli engelleniyor ve yamalanmaları gerekiyor. GrapheneOS’un odaklanmasını isteyeceğim alan bu değil
    • Yüzeysel kamuflaj anlamsız. Bunu önemseyen uygulamalar zaten Play Integrity API kullanır ve GrapheneOS bunu sahteleyemez
      0: https://developer.android.com/google/play/integrity/overview
    • GrapheneOS ekibi güvenliği ciddiye alıyor ve kamuflaj aslında engellemeyi meşrulaştırabilir
      https://grapheneos.org/articles/attestation-compatibility-gu... içinde şöyle deniyor:

      GrapheneOS yalnızca uygulama güvenlik modelini korumakla kalmaz, onu önemli ölçüde güçlendirir; bu yüzden güvenlik, dolandırıcılık karşıtlığı vb. gerekçelerle dışlanması meşrulaştırılamaz.

  • İnternet de dolandırıcılıkta kullanılabildiğine göre tüm internet kullanıcılarını yetkililere ihbar etmek daha iyi olur herhalde

    • Doğru. Ayrıca araba sahibi olan ya da araba kullanan herkesin kesin suçlu olduğunu da unutmayalım. Sonuçta arabalar ağır suçlardan kaçış aracı olarak kullanılıyor
    • Aklıma geldi de, bir anda baş edemeyecekleri kadar ihbar yağarsa ne olur? Tüm GrapheneOS kullanıcıları o uygulamayı kurup ihbar edilmelerini sağlasa, üstüne bir de botlar ya da sahte hesaplar eklenirse?
    • Arka kapısız bir işletim sistemi kullanan çoğu insan dolandırıcı değildir, ama sadece internet kullandığı için birini dolandırıcı saymaktan biraz daha yüksek bir isabet oranı olabilir
    • Bunu mu diyorsun? https://en.wikipedia.org/wiki/Collection_of_Internet_Connect...

  • Yeni bir korsanlık çağı yaklaşıyor. Onlar “gelir” için ağladığında, bugünkü günler hatırlanacak

    • Lütfen buna korsanlık demeyelim. O zaman biz hırsız gibi duyuluyoruz
      Bu, kitlesel gözetim ve kanser gibi büyüyen devlet karşısında bir direniş. Hatta neredeyse yurttaşlık görevi
    • Ne demek istiyorsun?