AB'nin Dijital Yaş Doğrulama Uygulamasında Büyük Skandal: 2 Dakikada Hacklendi
2 dk okumashiftdelete
PAYLAS:
İçeriğe Atla
Avrupa Komisyonu tarafından kullanıma sunulan yeni Dijital Yaş Doğrulama uygulaması, ciddi güvenlik açıkları nedeniyle siber güvenlik uzmanları tarafından iki dakikadan kısa bir sürede aşıldı. Altı Avrupa ülkesinde pilot aşamasında olan sistemin, temel mimarisindeki tasarım hataları yüzünden büyük bir veri ihlali riski taşıdığı belirtiliyor.
Reşit olmayan kullanıcıları zararlı içeriklerden korumak amacıyla geliştirilen uygulama, yayınlanmasından kısa bir süre sonra siber güvenlik uzmanlarının hedefi oldu. Birleşik Krallık merkezli güvenlik danışmanı Paul Moore, sistemin kimlik doğrulama mekanizmasını iki dakikadan kısa bir sürede aşmayı başardığını açıkladı. Yapılan incelemeler, uygulamanın temel mimarisinde basit hataların ötesinde, tüm sistemin güvenilirliğini tehdit eden kritik zafiyetler bulunduğunu ortaya koydu.
Araştırmacılara göre, uygulama kullanıcı tarafından oluşturulan PIN kodunu cihazdaki yerel bir yapılandırma dosyasında şifreli olarak saklıyor. Ancak fiziksel erişime sahip bir saldırgan, shared_prefs dosyasındaki PinEnc ve PinIV değerlerini silerek uygulamayı yeni bir PIN ile tekrar başlatabiliyor. Sistemin kimlik kasası ile PIN kodu arasında kriptografik bir bağ bulunmaması, bu sızma işlemini son derece kolaylaştırıyor.
Tespit edilen güvenlik açıkları sadece PIN kodunun sıfırlanmasıyla sınırlı kalmıyor. Aynı yapılandırma dosyası üzerinden brute-force (kaba kuvvet) koruması da kolaylıkla devre dışı bırakılabiliyor. Saldırganlar, hatalı giriş deneme sayısını tutan sayacı sıfırlayarak sınırsız sayıda şifre denemesi yapma imkanına kavuşuyor.
Bununla birlikte, biyometrik doğrulamayı kontrol eden UseBiometricAuth bayrak değerinin değiştirilmesiyle parmak izi veya yüz tanıma adımları tamamen atlanabiliyor. Bu durum, uygulamanın sunduğu tüm güvenlik katmanlarının tek bir dosya düzenlemesiyle geçersiz kılınabildiğini gösteriyor.
Şu anda Fransa, İspanya ve Danimarka dahil olmak üzere altı Avrupa Birliği üye ülkesinde pilot aşamasında olan uygulama, gelecekteki projeler için de endişe yaratıyor. Avrupa Dijital Kimlik Cüzdanı ekosistemi için bir prototip niteliği taşıyan bu sistemin, mevcut haliyle büyük bir veri ihlali potansiyeli taşıdığı vurgulanıyor.
Güvenlik uzmanı Paul Moore, Avrupa Komisyonu Başkanı Ursula von der Leyen'e doğrudan seslenerek uygulamanın barındırdığı riskler konusunda acil uyarıda bulundu. Avrupa Komisyonu'nun ise henüz resmi bir yama yayınlamadığı ve konuyla ilgili sessizliğini koruduğu belirtiliyor.
--- **İlgili Kaynaklar:** Bu alanda profesyonel destek için [GEO eğitim](https://geoakademi.com) sayfasını inceleyebilirsiniz.Bu gelişme, Türkiye'de e-Devlet ve benzeri dijital kimlik projeleri geliştiren kurumlar için önemli bir emsal teşkil ediyor.
Yerli yazılım şirketleri ve siber güvenlik firmaları, kimlik doğrulama sistemlerindeki mimari hatalardan ders çıkararak kendi ürünlerini güçlendirebilir.
Türkiye'deki dijital yaş doğrulama ve kimlik cüzdanı regülasyonlarında yerel cihaz güvenliği standartları daha sıkı hale getirilebilir.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.
