Metin mesajları aracılığıyla kullanıcı doğrulama yapan internet siteleri, milyonlarca kişinin mahremiyetini tehlikeye atarak onları dolandırıcılık, kimlik hırsızlığı ve diğer suçlara karşı savunmasız bırakıyor. Yakın zamanda yayımlanan bir araştırma, bu durumun ciddi boyutlara ulaştığını ortaya koydu.
Sigorta teklifleri, iş ilanları ve evcil hayvan bakıcısı veya özel ders öğretmeni gibi çeşitli hizmetler sunan platformlar, kullanıcıların hesaplarına giriş yapabilmeleri için cep telefonu numaralarını istiyor. Kullanıcılar, şifrelerini unutma veya oluşturma zahmetinden kurtulmak için bu yöntemi tercih ediyor. Ardından, hizmet sağlayıcılar kullanıcılar giriş yapmak istediğinde SMS yoluyla doğrulama bağlantıları veya geçici kodlar gönderiyor.
Ölçeklenebilir ve Kolay Uygulanabilir Saldırılar
Geçtiğimiz hafta yayımlanan bir bilimsel çalışma, kullanıcı güvenliğini ve mahremiyetini riske atan 175'ten fazla hizmet adına bu tür metin mesajları gönderen 700'den fazla bağlantı noktası tespit etti. Kullanıcıları tehlikeye atan uygulamalardan biri, siber saldırganların güvenlik token'ını değiştirerek kolayca tahmin edebileceği (örneğin, bir URL'deki sayıları veya harfleri artırarak veya rastgele tahmin ederek) bağlantıların kullanılması. Araştırmacılar, bu yöntemi kullanarak başka kullanıcıların hesaplarına erişebildiklerini ve sigorta başvuruları gibi kişisel bilgileri görüntüleyebildiklerini belirtiyor.
Bazı durumlarda, araştırmacılar başka bir kullanıcının kimliğine bürünerek hassas işlemler gerçekleştirebileceklerini de gözlemlediler. Diğer bağlantılarda ise çok az sayıda olası token kombinasyonu kullanıldığı için, bu bağlantılara kaba kuvvet yöntemleriyle erişim sağlamak mümkün oluyordu. Zayıf güvenlik uygulamalarına bir diğer örnek ise, SMS ile gönderilen bir bağlantıya tıklayarak yetkisiz erişim sağlayan saldırganların, başka bir doğrulama adımına gerek kalmadan kullanıcı verilerine erişebilmesi veya bunları değiştirebilmesiydi. Birçok bağlantı, gönderildikten yıllar sonra bile hesap erişimine izin vererek yetkisiz erişim riskini daha da artırıyor.
Araştırmacılar, “Bu saldırıların test edilmesinin, doğrulanmasının ve büyük ölçekte gerçekleştirilmesinin oldukça kolay olduğunu savunuyoruz. Tehdit modeli, tüketici sınıfı donanım ve yalnızca temel ila orta düzeyde web güvenliği bilgisi ile gerçekleştirilebilir” ifadelerini kullandılar.
SMS mesajları şifrelenmeden gönderilir. Geçmiş yıllarda araştırmacılar, doğrulama bağlantıları ve kişisel bilgiler içeren metin mesajlarının halka açık veritabanlarını ortaya çıkarmıştı. Bu veritabanlarında kişilerin adları ve adresleri gibi bilgiler de bulunuyordu. 2019 yılındaki bir keşifte, tek bir işletme ile müşterileri arasındaki yıllara dayanan milyonlarca gönderilmiş ve alınmış SMS mesajı yer alıyordu. Bu mesajlar arasında kullanıcı adları ve şifreler, üniversite finans başvuruları ve indirim kodları ile iş ilanları içeren pazarlama mesajları bulunuyordu.
Bilinen güvensizliğe rağmen, bu uygulama yaygınlaşmaya devam ediyor. Etik nedenlerden dolayı, araştırmacılar zayıf da olsa erişim kontrollerini aşmayı gerektireceği için bu uygulamanın gerçek boyutunu tespit edemedi. Sürece sınırlı bir bakış açısı sunan araştırmacılar, genellikle geçici numaralar aracılığıyla metin mesajı almayı sağlayan ve telefon numarasını gizlemeye olanak tanıyan reklam tabanlı web siteleri olan halka açık SMS ağ geçitlerini incelediler.
SMS ile gönderilen doğrulama mesajlarına bu sınırlı bakış açısıyla, araştırmacılar uygulamanın gerçek kapsamını ve beraberinde getirdiği güvenlik ve mahremiyet risklerini ölçemediler. Yine de bulguları dikkate değerdi.
Araştırmacılar, 33 milyondan fazla metinden elde edilen 322.949.000 benzersiz SMS ile teslim edilen URL'yi ve 30.000'den fazla telefon numarasını incelediler. Araştırmacılar, bu mesajları alan kişiler için çok sayıda güvenlik ve mahremiyet tehdidi kanıtı buldular. Bunların arasından, 177 hizmet adına gönderilen 701 bağlantı noktasından kaynaklanan mesajların “kritik kişisel olarak tanımlanabilir bilgileri” ifşa ettiğini belirttiler. Bu ifşanın temel nedeni, doğrulama için token'lı bağlantılara dayalı zayıf kimlik doğrulama mekanizmasıydı. Bu bağlantılara sahip herhangi biri, bu hizmetlerden kullanıcıların sosyal güvenlik numaraları, doğum tarihleri, banka hesap numaraları ve kredi puanları gibi kişisel bilgilerine erişebiliyordu.
701 hizmetten 125'i, “düşük entropi nedeniyle geçerli URL'lerin toplu olarak numaralandırılmasına” izin veriyordu. Aynı hizmetten bağlantı alan saldırganlar, başkalarının hesaplarına erişmek için kendi token'larını kolayca değiştirebiliyorlardı.
Uygulamaya ilişkin sınırlı bakış açısı göz önüne alındığında, bu sayılar muhtemelen kullanıcıların güvenliğini ve mahremiyetini tehlikeye atan hizmetlerin gerçek sayısını önemli ölçüde eksik tahmin etmektedir.
Güvenli olmayan SMS mesajlarındaki bağlantıların yaygın olarak gönderilmesi, çoğu insanın kendilerini korumak için atabileceği somut adımların az olduğu anlamına geliyor. Genel olarak zayıf kimlik doğrulama süreçlerini değerlendiren araştırmanın baş yazarı, e-posta yoluyla yaptığı açıklamada şunları belirtti:
“Parolayla oturum açma yöntemi daha yaygın olsa da, SMS veya e-posta ile gönderilen 'sihirli bağlantılar' (magic links) gibi şifresiz giriş yöntemleri, doğru şekilde uygulandığında daha güvenli bir alternatif sunabilir. Ancak günümüzde birçok hizmet, güvenlik açıklarına yol açan zayıf uygulamaları benimsemektedir.”
Bu tür bağlantıların popüler olmasının nedeni, potansiyel müşteriler üzerinde daha az sürtünme yaratmasıdır. Bir diğer faydası ise, uç noktaların kullanıcı adı ve şifreleri toplamak ve saklamak zorunda kalmamasıdır ki bu da hacker'lar tarafından kolayca çalınabilen bir yöntemdir. Bir başka kullanım nedeni ise, hizmeti kuran kişilerin bu tür bağlantıların yalnızca mesajı gönderenler dışındaki herkesi kısıtlayacağı yönündeki yanlış varsayımı ve uç nokta yanlış yapılandırmaları veya güvenlik incelemelerinin eksikliğidir.
Birçok güvenlik profesyoneli gibi, SMS veya e-posta ile gönderilen doğrulama bağlantılarının, bağlantıların kısa ömürlü olması, ilk oturum açmadan sonra süresinin dolması ve kriptografik olarak güvenli bir token'a sahip olması koşuluyla otomatik olarak güvensiz olmadığını belirtiyor. DuckDuckGo ve 404 Media gibi gizlilik odaklı siteler, kullanıcıları hesap sahibinin e-posta adresine gönderilen bir “sihirli bağlantı” ile doğrulamayı tercih ediyor.
“Bizimle bir parola oluşturmayarak parolanızın sızdırılma riski olmaz ve biz de onu güvende tutma sorumluluğuyla uğraşmak zorunda kalmayız,” diye yazıyor 404 Media editörleri. “Giriş bağlantısı, muhtemelen iki faktörlü kimlik doğrulama ile korunmuş olan (ki öyle olmalı!) e-postanıza gönderiliyor.” Sihirli bağlantıların kullanımına itiraz eden birçok kişi, parola gerektiren hizmetlerin çoğunun hesap kurtarma için sihirli bağlantıların eşdeğerine başvurduğunu fark etmiyor.
Güvenli olmak için, sihirli bağlantılar başkaları tarafından kullanılma olasılığını azaltmak amacıyla zamanla sınırlı olmalıdır. 404 Media, bağlantıların 24 saat içinde süresinin dolduğunu belirtiyor. DuckDuckGo'nun kimlik doğrulama e-posta sistemi farklı çalışıyor; tek seferlik uzun bir şifre gönderiyor. Şifrenin ne kadar süreyle geçerli olduğu ise belirsizdir.
Sihirli bağlantılar ayrıca, büyük miktarda kullanıcı verisi depolayan ve sağlam hesap kurtarma mekanizmalarına güvenmek zorunda olan Gmail, Office365 veya bankalar gibi siteler için uygun değildir.
SMS veya e-posta tabanlı kimlik doğrulamanın güvenliğini artırmanın bir başka yolu ise, gönderilen bağlantıya ek olarak ikinci bir faktör gerektirmektir. Ancak doğum tarihi, posta kodu veya başka bir düşük entropili faktör yeterli değildir. Ayrıca, bir saldırganın doğru olana kadar tekrar tekrar deneme yapmasını önlemek için oturum açma girişimleri hızla sınırlandırılmalıdır.
Şimdilik, kişilerin alacakları SMS ile teslim edilen doğrulama bağlantılarının çoğunun hassas verilerini açığa çıkarabileceğini ve bu uygulamanın yakında değişmesinin olası olmadığını kabul etmeleri gerekiyor. Araştırmacıların iletişime geçebildiği 150 etkilenen hizmet sağlayıcısından yalnızca 18'i yanıt verdi ve yalnızca yedi tanesi hatayı düzeltti.
