Dünyanın en bilinen bankalarına ait ve geniş kullanıcı kitlesine sahip iOS bankacılık uygulamalarından bazıları kullanıcı bilgilerini açığa çıkaracak ve hesapların ele geçirilmesine neden olabilecek güvenlik açıkları taşıyor. Yeterli bilgi ve donanıma sahip bir saldırgan araya-girme-saldırısı yöntemi ile kullanıcıyı izleyebilir, session-hijacking saldırısı ile hesabın kontrolünü eline alabilir, sistem çökmeleri ve veri sızmalarına neden olabilecek hafıza çökmesi problemlerine neden olabilir. Bunların hepsi bir araya geldiğinde, bir saldırgan kullanıcı bilgilerini ele geçirerek kullanıcının hesabına erişebilir ve dolandırıcılık yapabilir.
IOActive firmasında çalışan Arjantinli araştırmacı Ariel Sanchez, Dünyadaki 60 en büyük bankanın 40 mobil bankacılık uygulaması üzerinde çeşitli testler gerçekleştirdi. Bu testler uygulamaların güvenlik analizlerini kapsayan, veri transfer mekanizmaları, kullanıcı arabirimleri, depolama prosesleri ile derleyicileri ve çalıştırılarbilir dosyaları gibi karmaşık konulardan oluşuyor.
Sanchez bu testler sonucunda bir miktar güvenlik açığına rastladı.
“Doğru yeteneklere sahip birisi, potansiyel hataları ortaya çıkarabilir ve ardından biraz araştırma ile güvenlik açığına sahip uygulamaların kullanıcılarının hesaplarını ele geçirecek zararlı yazılımlar geliştirebilir” diyor Sanchez.
Bu güvenlik açığı bankanın geliştirme altyapısına erişim sağlamak için kullanabilir ve uygulamaya bulaştırılacak zararlı yazılım ile bu uygulamayı kullanan tüm kullanıcıların etkileneceği toplu bir saldırı gerçekleştirilebilir.
IOActive bu güvenlik açıklarını ilgili bankalara ilettiklerini belirtiyor. Ancaj Sanchez, bu güne kadar henüz hiç bir bankadan bu güvenlik açıklarını yamadıklarına dair bir bilginin kendilerine ulaşmadığını söylüyor.
Sanchez gerçekleştirdiği testler sırasında kendisini en çok endişelendiren şeyin uygulamaların çalıştırılabilir programları için gömülü buluanan geliştirme referansları olduğunu belirtiyor. Diğer bir deyişle, pek çok güvenlik açığına sahip bankacılık uygulamaları ayırt edilebilir ana anahtarlar barındırıyor. Bunlar geliştirmecilere uygulamanın altyapısına erişme imkanı sağlamak için konulmuş. Ancak ne yazık ki bu gömülü referanslar saldırganlara da aynı erişim seviyesini sağlayabilir.
Problemin bir bölümü pek çok uygulamanın kullanıcılara kriptolanmamış linkler göndermesinden veya bilgi kriptolanmış ise düzgün bir şekilde SSL sertifikaları ile doğrulayamamasından kaynaklanıyor. Sanchez, uygulamaların bu davranışı nedeniyle uygulama geliştiricilerin kullanıcıları araya-girme-saldırılarının neden olaiblieceği, zararlı javascript, HTML enjekte etme veya oltalama saldırıları ile karşı karşıya bıraktığını iddia ediyor.
Sanchez tarafından ortaya çıkarılan bu gerçekler, bankaların yüzde 70’den fazlasının iki faktörlü kimlik doğrulama testlerinden geçemediğini gösteriyor.
Sanchez ayrıca, “Tek ihtiyacınız olan uygulamanın çalıştırılabilir dosyası, kriptoyu çözecek ve kodu ayrıştıracak araçlar. Bu uygulamalara ait kodların kriptosunu nasıl çözeceğinizi ve kodları nasıl ayrıştıracağınızı anlatan yüzlerce makale internet üzerinde dolaşıyor. Yeterli tecrübesi olmasa bile vakti olan biri bu makaleleri kolayca izleyerek sonuca ulaşabilir” diye ekliyor.
IOActive araştırmasının hem iyi hem kötü (ağırlıklı olarak iyi) yönleri var.
İyi yönünden bakıldığında, bankaların isimlerini ve buldukları güvenlik açıklarını – saldırganların kolayca hedeflerini belirlemesini engellemek için – açıklamıyorlar. Kötü yönünden bakıldığıdna ise hangi bankalara ait hangi uygulamaların güvenlik açığına sahip olduğunu bilmiyoruz. Bu nedenle de kime güvenip kime güvenmeyeceğimizi de bilemiyoruz.
Açıkçası, yapılması gereken en kolay şey bu güvenlik açıkları bankalar tarafından doğrulanıp ortadan kaldırılana kadar mobil bankacılık uygulamalarını kullanmamak. Ancak pek çoğumuz bunu yapmayacak. O nedenle bu süreçte eğer bankanız destekliyorsa iki faktörlü kimlik doğrulamaya geçmelisiniz. Aksi halde bankacılık uygulamanızdaki linklere tıklarken dikkatli olun, oltalama mesajlarına karşı uyanık olun ve gözünüz banka hesabınızın üzerinde olsun.