AB'nin Dijital Yaş Doğrulama Uygulamasında Büyük Açık: 2 Dakikada Hacklendi
2 dk okumadonanimhaber
PAYLAS:
İçeriğe Atla
Avrupa Birliği tarafından kişisel verileri koruyarak yaş tespiti yapmak amacıyla geliştirilen yeni Dijital Yaş Doğrulama Uygulaması, yayınlanmasının üzerinden 48 saat geçmeden ciddi bir güvenlik zafiyetiyle gündeme geldi. İngiliz güvenlik danışmanı Paul Moore, sistemin kimlik doğrulama mekanizmasını iki dakikadan kısa bir sürede aşmayı başardı.
Avrupa Komisyonu Başkanı Ursula von der Leyen tarafından "yüksek gizlilik standartlarına sahip" olarak tanıtılan uygulama, beklentilerin oldukça uzağında kaldı. Uygulamada kullanıcıdan alınan PIN kodunun, cihaz üzerindeki shared_prefs adlı yerel bir dosyada saklandığı tespit edildi. Güvenlik uzmanı Paul Moore, şifrelenmiş PIN ile kimlik doğrulama verileri arasında kriptografik bir bağlantı bulunmadığını ortaya çıkardı.
Bu mimari hata, fiziksel erişimi olan bir saldırganın ilgili dosyadaki PinEnc ve PinIV değerlerini silerek uygulamayı sıfırlamasına olanak tanıyor. Saldırgan, kendi belirlediği yeni bir PIN ile sisteme giriş yaptığında, uygulama önceki kullanıcıya ait doğrulanmış kimlik bilgilerini geçerli saymaya devam ediyor. Bu durum, yaş doğrulama verilerinin hiçbir uyarı vermeden ele geçirilmesi anlamına geliyor.
Sistemdeki güvenlik açıkları sadece PIN manipülasyonu ile sınırlı kalmadı. Siber güvenlik uzmanlarının incelemelerine göre, brute-force (kaba kuvvet) saldırılarına karşı kurulan hız sınırlama mekanizması da oldukça zayıf. Sistem, basit bir sayaç mantığıyla çalışıyor ve bu sayaç sıfırlanarak sınırsız şifre denemesi yapılabiliyor.
Bununla birlikte, yapılandırma dosyasındaki ilgili parametreler değiştirilerek biyometrik doğrulama katmanı da tamamen devre dışı bırakılabiliyor. Uzmanlar, bu açıkların basit bir yazılım hatasından ziyade, sistemin temel tasarımında yatan ciddi bir zafiyet olduğuna dikkat çekiyor.
Olayın ortaya çıkmasının ardından Avrupa Komisyonu hızlıca harekete geçerek sistemde bazı değişiklikler yaptı ve uygulamanın güncellendiğini duyurdu. Ancak daha ilk günlerde yaşanan bu kriz, yakın gelecekte hayata geçirilmesi planlanan Avrupa Dijital Kimlik sisteminin güvenilirliği konusunda soru işaretleri yarattı.
--- **İlgili Kaynaklar:** Profesyonel SEO ve GEO eğitim platformu çözümleri için [GEO eğitim](https://geoakademi.com) sayfasını ziyaret edin.AB'de yaşanan bu güvenlik zafiyeti, Türkiye'nin kendi dijital kimlik ve yaş doğrulama sistemleri için önemli bir emsal teşkil ediyor.
Yaş doğrulama altyapısı geliştiren yerli siber güvenlik ve yazılım şirketleri için yeni güvenlik standartları belirleyici olacaktır.
Türkiye'deki e-Devlet ve dijital kimlik entegrasyonlarında yerel veri saklama standartlarının ve şifreleme yöntemlerinin gözden geçirilmesine neden olabilir.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.
