Mobil cihazları halka açık şarj istasyonlarında korumak için geliştirilen güvenlik önlemleri, yeni ortaya çıkan ChoiceJacking saldırısıyla boşa çıkıyor. Graz Teknoloji Üniversitesi’nden güvenlik araştırmacıları, hem iOS hem de Android işletim sistemlerinde yıllardır etkin olan juice jacking savunmalarını atlatabilen yeni bir saldırı yöntemi geliştirdi.
Nedir Bu ChoiceJacking?
ChoiceJacking, şarj cihazının hem elektrik sağlayan bir donanım gibi davranmasını hem de klavye ve veri erişimi yetkisi talep eden bir cihaz gibi davranmasını sağlayan karmaşık bir saldırı tekniği. Bu yöntem:
- Kullanıcının cihazında çıkan izin istemlerini otomatik olarak taklit edebiliyor,
- USB rol değişimi (USB PD Role Swap) özelliğini ve Bluetooth bağlantılarını kullanarak izin sürecini fiziksel kullanıcı etkileşimi olmadan geçebiliyor,
- Böylece telefondaki fotoğraflar, belgeler ve uygulama verilerine erişim sağlayabiliyor.
Savunmalar Neden Yetersiz Kaldı?
Apple ve Google, 2012’den bu yana juice jacking’e karşı kullanıcıdan manuel onay gerektiren güvenlik önlemleri uygulamaktaydı. Ancak:
- Android cihazlarda, üreticiler arasında güvenlik uygulamalarının parçalı olması nedeniyle birçok model hala savunmasız durumda.
- iOS cihazlarda, yalnızca en güncel sürüm olan iOS/iPadOS 18.4 ile bu sorun çözülebildi.
Araştırmanın Teknik Bulguları:
- ChoiceJacking saldırısı, test edilen 8 büyük telefon markasının 7’sinde başarıyla uygulandı.
- Saldırı için gerekli olan onaylar, şarj cihazı tarafından otomatik olarak tetiklenebiliyor.
- Kullanıcıya hiçbir uyarı göstermeden, cihazdan veri çekilebiliyor.
Ne Yapmalı?
Bu yeni tehdide karşı alınabilecek önlemler şunlar:
- Halka açık şarj istasyonlarından kaçının, mümkünse sadece prizden güç alın.
- Kendi güç adaptörünüzü ve kablonuzu kullanın.
- iOS kullanıcıları, cihazlarını en son sürüme güncellemeli (iOS/iPadOS 18.4 ve sonrası).
- Android kullanıcıları, Android 15’e geçmeli veya fiziksel veri engelleyici (“USB data blocker”) kullanmalı.
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment