Cebimizdeki Casus: Akıllı Telefonlar

0
3230

Akıllı telefonunuzun bugün sizin için yaptığı her şeyi düşünün. Adımlarınızı saydı mı? Banka işlerinizi halletti mi? Yazılı notlar? Size ilk kez gittiğiniz bir güzergahı tarif etti mi?

Akıllı telefonlar, çok yönlü bir cep asistanıdır çünkü küçük cihazlar bizim asla farketmediğimiz-hatta hiç bilmediğimiz- ışık, nem, basınç ve sıcaklık gibi unsurları içeren bir çok sensörle donatılmıştır.

Akıllı telefonlar en yakın dostlarımız haline geldikleri için, bu sensörler muhtemelen gün boyunca bizimle birlikteyken arka planda sessizce işlemeye devam ediyor: araba bardak tutacağının üstünde, masanızda, yemek masasında veya komodinin üstünde. Akıllı telefon kullanıcılarının büyük çoğunluğu gibiyseniz, telefonunuzun ekranı kararmış olsa dahi cihazınız daima çalışıyor.

İngiltere’deki Newcastle Üniversitesi’nde bir bilgisayar bilimi uzmanı olan Maryam Mehrnezhad, “Sensörler hayatımızın her köşesinde kendi yollarını buluyor” diyor.

Telefonların emirlerimizi yerine getirmesi için gözlemsel becerilerini kullanması iyi bir şey. Ancak akıllı telefonlarda pek çok özel kişisel bilginin bulunması onları güçlü bir potansiyel casus haline getiriyor.

Çevrimiçi uygulama mağazası Google Play, sensör erişimini kötüye kullanan uygulamaları çoktan keşfetti. Google, son zamanlarda Android uygulamalarından ve uygulama mağazasından 20 uygulama kaldırdı. Çünkü bu uygulamalar kullanıcının bilgisi olmadan mikrofonla kayıt yapabiliyordu, telefonun konumunu izleyebiliyordu, habersizce fotoğraf çekebiliyordu ve ardından bu verileri kaydedebiliyordu. Çalınan fotoğraflar ve ses kayıtları, alenen gizlilik istismarı anlamına geliyor.

Malezya’nın Kajang Ulusal Enerji Üniversitesinde güvenlik araştırmacısı olan Ahmed Al-Haiqi’ye göre, görünüşte zararsız olan sensör verileri bile potansiyel olarak hassas bilgiler yayınlayabilir. Akıllı bir telefonun hareketi kullanıcıların arama motorlarına hangi siteyi yazdıklarını veya ziyaret ettikleri sayfaları ortaya çıkarabilir. Dahası, barometre okumaları bile, bulunduğunuz binanın hangi katında olduğunuzu ortaya çıkarabilir.

Bu sinsi sızıntılar gerçek hayatta henüz gerçekleşmemiş olabilir, ancak akademi ve endüstrideki araştırmacılar nihai istilaları tespit etmek için uğraşıyorlar. Bazı bilim adamları, istilacı uygulamalar tasarladılar ve akıllı telefonların sahiplerinin hakkında neler gösterebileceğine ışık tutmak için onları gönüllüler üzerinde test ettiler. Diğer araştırmacılar, çalıntı PIN kodlarından, takibe kadar sayısız gerçek ve varsayımsal gizlilik istilasından kullanıcıların korunmasına yardımcı olmak için yeni akıllı telefon güvenlik sistemleri oluşturuyor.

Biri Bizi Gözetliyor

Alışık olduğumuz kamera ve mikrofonun yanı sıra, akıllı telefonlar diğer hassas sensörleri de kullanır.

Parmak İzi / TouchID: Kullanıcının parmak izini tarar.
Yakınlaştırma: Telefonun dokunmatik ekranından diğer nesnelerin mesafesini ölçer.
Işık: Telefonun bulunduğu ortamdaki ışık seviyesini ölçer.
Barometre: Telefonun bulunduğu ortamdaki basıncı ölçer.
İvmeölçer: Cihazın hareketini veya titreşimini ölçer.
Jiroskop: Bir telefonun yönünü ve derecesini değerlendirir.
Manyetizma: Telefonun etrafındaki manyetik alan yoğunluğunu bildirir.
Yerçekimi: Yer çekimi kuvvetini ölçer.
Mesaj Açıklandı
Akıllı telefonlar içinde hareket dedektörleri, ivmeölçer ve  jiroskop gibi gizli kapaklı olarak veri toplayan temel araçlar olabilir. Bu araçlar izin korumalı değiller; yani kullanıcının, bu sensörlere erişmek için yeni yüklenen uygulamaya izin vermesi gerekmiyor. Bu yüzden hareket dedektörleri, bir cihaza indirilen herhangi bir uygulama içinde yer aldığı için yasal kabul ediliyor.UCLA’da mühendis olan Mani Srivastava “Çevremizdeki pek çok farklı özellik bu sinyallerle tespit edilebilir” diyor.

Al-Haiki,  bu bilgisayar programlarının çoğunlukla otomatik öğrenme algoritmaları olduğunu söylüyor. Uzmanlar, programları, belirli hareketleri üreten tuş vuruşlarıyla etiketlenmiş bir dizi hareket sensörü verisini kullanarak, tuş vuruşlarını tanımaları için eğitiyorlar. İki araştırmacı, oryantasyon sensörü verilerini toplayan ve akıllı telefonların sayı klavyelerindeki tıklamaları tespit etmek için verileri kullanan bir uygulama olan TouchLogger‘ı geliştirdi. HTC telefonları üzerinde yapılan bir testte, 2011 yılında San Francisco’da USENIX’in güvenlik konusundaki bir çalıştayında sunulan testte TouchLogger, tuş vuruşlarının yüzde 70’inden fazlasını doğru şekilde değerlendirdi.

O zamandan beri, benzer bir çok çalışma ortaya çıktı ve bilim adamları, farklı telefon türlerinde sayı ve harf klavyeleri üzerinde tuş vuruşlarını öğrenebilen  kodlar yazdılar. 2016 yılında Al-Haiqi ve meslektaşları bu çalışmaları gözden geçirdiler ve sadece bir dedektifin hayal gücünün bu hareket verilerini anahtar noktalarına çevrilebileceği ve kısayol oluşturabileceği sonucuna varıldı. Bu tuş vuruşları, bir bankacılık uygulamasında girilen şifreden, bir e-posta veya metin mesajının içeriğine kadar her şeyi deşifre edebilir.

Daha sonra geliştirilmiş bir uygulama, PIN’leri tahmin etmek için jiroskop, ivme ölçer, ışık sensörü ve manyetizma ölçme manyetometresi de dahil olmak üzere bir dizi akıllı telefon sensörünü de kullandı. Kullanıcı tuşlara bastığı sırada uygulama da telefondaki hareketleri analiz etti ve yazı yazarken kullanıcının parmağı ışık sensörünü engelledi. Araştırmacılar, bu uygulamayı 50 PIN’lik bir sayı havuzunda test ettiğinde, uygulamanın yüzde 99.5’lik doğrulukla tuş vuruşlarını ayırt edebildiğini tespit ettiler ve Aralık ayında yayınlanan Kriptoloji ePrint Arşivi’nde bu test rapor edildi.

Şifreler Güvende Değil

Diğer araştırmacılar, bir ekrana dokunulduğunda parmak ucunun yumuşak sesini alabilen mikrofon kayıtları ile eşleştirilmiş hareket verilerini ayırdılar. Bir grup, basit bir not alma aracı olarak gizlenebilecek kötü amaçlı bir uygulama tasarladı. Kullanıcı uygulamanın klavyesinde dokunduğunda, uygulama, her tuş vuruşunun sesini ve verdiği hissi öğrenmek için hem anahtar girişi hem de eş zamanlı mikrofon ve jiroskop okumalarını gizli olarak kaydetti.

Kullanıcı diğer uygulamalarda önemli bilgiler girdiğinde bile bu uygulama arka planda bu bilgileri kaydedebilir. Kablosuz ve Mobil Ağlarda Güvenlik ve Gizlilik hakkındaki 2014 ACM Konferansı Bildirisi’nde sunulan bu uygulama Samsung ve HTC telefonlarında test edildiğinde, yüzde 94 doğrulukla 100 adet dört haneli PIN’in tuş vuruşlarını ortaya çıkardı.

Ancak Al-Haiqi, “Bu başarı oranı çoğunlukla kontrollü ayarlardaki tuş vuruşu deşifre etme tekniğinden kaynaklandığını gösteriyor – kullanıcıların telefonlarını belirli bir şekilde tuttukları veya yazarken oturdukları varsayılıyor. Bu bilgi toplama programlarının daha geniş bir yelpazede nasıl yer aldığı yakında ortaya çıkacaktır. Ancak hareketin veya diğer sensörlerin yeni gizlilik istilalarına kapı açıp açmayacağının cevabı bariz bir evet” diyor.

Parazit
Ayrıca hareket sensörleri, telefon kullanıcılarının metro veya otobüs yolculuğu gibi seyahatlerini haritalandırmaya da yarayabilir. Bir yolculuk sırasında, telefonun cepten çıkarılması gibi daha kısa süreli, daha basit hareketlerden ayırt edilebilen bir hareket verisi akışı üretilir. Araştırmacılar, 2017 yılında düzenlenen IEEE Bilgi Güvenliği İşlemleri konferansında ivme ölçer okumalarından çeşitli metro yollarının verilerini ayıklayabilmek için tasarladıkları bir uygulamayı tanıttılar.

Çin’in Nanjing kentindeki metroda Samsung akıllı telefonlar ile yapılan deneylerde, bu izleme uygulaması en az yüzde 59, 81 ve yüzde 88 doğrulukla bir kullanıcının metro sisteminin hangi bölümlerini seçtiğini ortaya koydu. Bu rota ise 3, 5 ve 7 istasyondan oluşuyordu. Bir kullanıcının metro hareketlerini izleyebilen kişi, yolcunun nerede yaşadığını, nerede çalıştığını, hangi mağaza veya restoranlarda sık sık bulunduğunu, günlük programını veya hatta uygulama ile  takip ettiği birden fazla kişiyi bile tespit edebilir.

Miami’de Florida Uluslararası Üniversitesi’nde elektrik ve bilgisayar mühendisi olan Selçuk Uluağaç,“ Neyse ki şimdiye kadar gerçek hayatta bu sensörlerin casusluk  için kullanıldığı bir durum görmedik. Fakat bu, kendimizi korumak zorunda olduğumuz açık bir tehlikenin olmadığı anlamına gelmez”diyor.

Dahası, akıllı telefon sensörleri sadece bilgi çalma yazılımlarını kullanan siber kodlar için göze çarpan fırsatlar sunmuyor. Yasal uygulamalar, genellikle arama motoru ve uygulama indirme geçmişi gibi bilgileri reklam şirketlerine ve diğer üçüncü taraflara satmak için topluyor. Bu üçüncü taraflar, bir kullanıcının hayatının paylaşmak istemediği yönlerini öğrenmek için de bu bilgileri kullanabilir.

Mehrnezhad, “ Bir sağlık sigortası şirketini örnek alalım.Tembel veya aktif bir insansınız diyelim. Her gün yaptığınız etkinlik miktarını bildiren bu hareket sensörleri sayesinde, hangi tür kullanıcı olduğunuzu kolayca tespit edebilirler. Bunu onların bilmelerini istemezsiniz” diyor.

Sensör Korumaları
Güvenilir olmayan bir üçüncü tarafın sensör verilerinden kullanıcıya özel çıkarımlar yapması daha kolay hale geldiğinden, araştırmacılar, hangi uygulamaların kişilerin cihazlarından nasıl çalınabileceği konusunda daha fazla kontrol sahibi olma yolları geliştiriyorlar. Bazı güvenlik önlemleri bağımsız uygulamalar olarak görünebilirken, diğerleri ise gelecekteki işletim sistemi güncellemelerine eklenebilecek araçlardır.

Uluağaç ve arkadaşları, Ağustos 2017 USENIX Güvenlik Sempozyumu’nda Vancouver’da bir telefonun sensör aktivitesini izleyen ve sahibini olağandışı davranışlara karşı uyaran 6thSense adlı bir sistem önerdi. Kullanıcı bu sistemi, telefonun normal sensör davranışını öğrenmek, arama yapmak, internette gezinmek ve araba kullanmak gibi günlük işler sırasında tanıması için eğitebilecekti. Daha sonra ise 6thSense sürekli olarak telefonun sensör aktivitesini bu öğrenilen davranışlara göre kontrol edecekti.

Bir gün program alışılmadık bir şey gösterirse – örneğin kullanıcı sadece oturduğu zaman mesajlaşırken hareket eden sensörler gibi – 6th Sense kullanıcıyı uyarır. Ardından, kullanıcı bu şüpheli etkinlikten yeni indirilen bir uygulamanın sorumlu olup olmadığını kontrol edebilir ve uygulamayı telefondan silebilir.

Uluağaç’ın ekibi kısa bir süre önce bu sistemin bir prototipini test etti: Elli kullanıcı, Samsung akıllı telefonlarını 6th Sense ile tipik sensör aktivitelerini tanımak için eğitti. Araştırmacılar, 6th Sense sistemlerini kötü niyetli sensör operasyonları segmentleriyle karıştıran günlük faaliyetlerden gelen zararsız veri örnekleriyle beslediklerinde 6th Sense, problemli verileri yüzde 96’nın üzerinde bir doğruluk oranıyla seçti.

 

Verileri üzerinde daha fazla aktif kontrol sahibi olmak isteyenler için, IBM Yorktown Heights, New York’ta bir gizlilik ve güvenlik araştırmacısı olan Supriyo Chakraborty ve meslektaşları, uygulama sensörlerinin verilerinden belirli kullanıcı aktiviteleri hakkında sonuç çıkarma kabiliyetine sahip bir sistem olan DEEProtect‘i tasarladılar. İnsanlar, Şubat 2017’de arXiv.org adresinde çevrimiçi olarak yayınlanan bir raporda tanımlanan DEEProtecti, sensör verilerinin hangi uygulamalarla kullanılmasına izin verileceğini belirtmek için kullanabileceklerdi. Örneğin, bir kullanıcı bir konuşmayı, konuşanı tanımlamadan kopyalamayı isteyebilir.

 

Ancak ses frekansları, casusluk uygulamasının bir konuşmacının kimliğinin ortaya çıkarmasına sebep olabilir. Bu nedenle DEEProtect, verileri uygulamadan dışarı aktarmadan önce bozar, sadece kelime emirleri hakkında bilgi bırakır. Çünkü konuşmacının kimliğini bilmez. Kullanıcılar, DEEProtect’in verileri ne kadar değiştirdiğini kontrol edebilir; daha fazla bozulma daha fazla gizlilik anlamına geliyor, ancak bu durum uygulamanın işlevselliğini de azaltıyor.

Gizliliğin de Bir Bedeli Var

Google’ın Android güvenlik ekibi, uygulama sensörü verilerinin oluşturduğu gizlilik risklerini azaltmaya çalışıyor. Android güvenlik mühendisi Rene Mayrhofer ve meslektaşları, akademik ortamdan çıkan en son güvenlik çalışmalarını yakından takip ettiklerini söylüyor.

Ancak, bir başkasının yeni bir akıllı telefon güvenlik sisteminin prototipini oluşturup başarılı bir şekilde test etmesinin, ileride yapılacak olan güncellemelerde ortaya çıkacağı anlamına gelmez. Mayrhofer, güvenlik ekibinin, güvenilir programların işlevlerini engellememek ile, sınırlı uygulamaların erişimini kısıtlamak arasında doğru dengeyi sağlayan bir protokol bulmaya çalıştığı  için, Android’in önerilen sensör korumalarını içermediğini açıklıyor.

Mayrhofer “Uygulama ekosistemi çok büyük, ve orada tamamen meşru olan çok farklı uygulamalar var” diyor. Uygulamaların sensör erişimini engelleyen her türlü yeni güvenlik sistemi, yasal uygulamaları “gerçek anlamda çiğneme riski” sunuyor.

Teknik şirketler ekstra güvenlik önlemleri almakta isteksiz olabilirler çünkü bu ekstra korumalar, maliyetli olabilir. Srivastava’ya göre güvenlik ve rahatlık arasında doğal bir ticaret var ve bu büyülü sensör kalkanına asla sahip olamayacağız. Bu durum da bize gizlilik ve fayda dengesi sağlıyor.

Ancak, sensörler daha yaygın ve güçlü hale geldikçe ve verileri analiz etmek için geliştirilen algoritmalar daha akıllı hale geldiği sürece, akıllı telefon üreticileri bile mevcut sensör korumalarının bu suçların önünü kesmediğini kabul etmek zorunda. Al-Haiqi, “Kedi fare oyunu gibi. Saldırılar daha da iyileşecek, çözümler daha da gelişecek. Saldırılar geliştikçe çözümler de gelişecek” diyor.

Oyun devam edecek, Chakraborty de Al-Haiqi ile aynı fikirde. “Bir kazanan ilan edip evlerimize dönebileceğimizi hiç düşünmüyorum.” diyor.

Kaynak: Science News

CEVAP VER

Please enter your comment!
Please enter your name here