Avrupa Birliği’nin internette yaş doğrulaması için devreye aldığı yeni uygulama, daha ilk günlerinde güvenlik tartışmalarının odağına yerleşti. Kullanıcı gizliliğini koruduğu iddiasıyla tanıtılan sistemin, kısa süre içinde aşılabilmesi dikkat çekti.
Son dönemde dünyanın birçok yerinde internet üzerindeki denetim giderek sıkılaşıyor. Bir tarafta 18 yaş altına yönelik yeni sınırlamalar gündeme geliyor, diğer tarafta yaş tespiti için kimlik doğrulama uygulamaları yaygınlaşıyor. Avrupa Birliği de bu hafta bu sürece resmen dahil oldu. Avrupa Komisyonu, kullanıcıların kişisel verilerini doğrudan paylaşmadan yaşlarını kanıtlamasını sağlayacak yeni uygulamayı kullanıma sundu.
Ancak sistem, devreye alınmasının üzerinden 48 saat bile geçmeden güvenlik açıklarıyla gündeme geldi. 14 Nisan’da kullanıma sunulan Dijital Yaş Doğrulama Uygulaması, pasaport ya da kimlik kartı üzerinden yaş doğrulaması yapılmasına imkan tanıyor. Avrupa Komisyonu Başkanı Ursula von der Leyen uygulamayı tanıtırken sistemi “yüksek gizlilik standartlarına sahip, kullanıcı dostu bir çözüm” olarak nitelendirmişti. Fakat ortaya çıkan ilk bulgular, bu iddiaların şimdiden sorgulanmasına yol açtı.
İngiltere merkezli güvenlik danışmanı Paul Moore, uygulamanın kimlik doğrulama mekanizmasını iki dakikadan kısa sürede tamamen devre dışı bırakmayı başardı. Moore’un paylaştığı teknik bulgulara göre sorun, basit bir yazılım hatasından çok daha büyük.
Uygulamada kullanıcıdan alınan PIN kodu şifrelenerek cihaz üzerindeki “shared_prefs” adlı yerel bir dosyada tutuluyor. Ancak Moore, burada iki temel mimari problem bulunduğunu ortaya koydu. Buna göre şifrelenmiş PIN, kimlik doğrulama verilerini barındıran sistemle kriptografik olarak bağlantılı değil. Üstelik kullanılan şifreleme yöntemi de, dosyanın kolayca düzenlenebilmesi nedeniyle pratikte ciddi bir koruma sağlamıyor.
Bu açık sayesinde cihaza fiziksel erişimi olan bir saldırgan, ilgili dosyadaki PinEnc ve PinIV değerlerini silerek uygulamayı sıfırlayabiliyor. Ardından kendi belirlediği yeni bir PIN ile sisteme giriş yapılabiliyor. Asıl dikkat çeken nokta ise burada ortaya çıkıyor: Uygulama, yeni PIN’i kabul ettikten sonra önceki kullanıcıya ait doğrulanmış kimlik verilerini geçerli saymayı sürdürüyor. Yani doğrulanmış yaş bilgileri, herhangi bir uyarı oluşmadan ele geçirilebiliyor.
Sorun bununla da sınırlı değil. Aynı yapılandırma dosyasında yer alan başka güvenlik mekanizmalarının da kolayca değiştirilebildiği belirtiliyor.
Örneğin brute-force saldırılarına karşı kullanılan hız sınırlama sistemi, yalnızca basit bir sayaç mantığıyla çalışıyor. Bu sayaç sıfırlandığında sınırsız deneme yapılabilmesi mümkün hale geliyor. Benzer şekilde, biyometrik doğrulamanın aktif olup olmadığını belirleyen parametre de değiştirilebiliyor ve böylece bu güvenlik katmanı tamamen devre dışı bırakılabiliyor.
Uzmanlara göre tablo açık: Buradaki mesele küçük bir kodlama hatası değil, sistemin temel tasarımında yer alan ciddi bir zafiyet. Daha da önemlisi, yalnızca fiziksel erişimle sınırlı olmayan başka açıkların da bulunması, riskin düşünüldüğünden daha büyük olabileceğini gösteriyor.
Paul Moore’un bulgularını paylaşmasının ardından Avrupa Komisyonu harekete geçti. Sistemde bazı değişiklikler yapıldı ve uygulamanın güncellendiği duyuruldu.
Google Play
App Store
10:42
