TEKNOLOJİ

Galaxy S5 Parmak İzi Sensörü Hack’lendi. PayPal Kullanıcıları Dikkat!

By Art Manik
Yeni Galaxy S5 parmakizi sensörü hack’lendi.
Saklansana.com‘un haberine göre; açığı bulan Alman grup, Samsung’taki parmakizi güvenlik implementasyonunun, Apple Iphone 5S’e göre daha güvensiz ve yaşatacağı sorunların ise çok daha tehlikeli olduğunu bildirdi. Bu açık sayesinde sahte parmakiziyle paypal üzerinden ödeme de yapılabiliyor.Berlin’de bulunan bir Güvenlik Araştırma Labratuarı, parmakizi güvenliğinin nasıl hack’lendiğini gösteren bir videoyu  YouTube’da paylaştı. Tutkal bazlı kauçuk bir kalıpla alınan sahte parmak izi ile telefonun sensörünü yanıltıp izinsiz giriş yapılabiliyor. S5 parmakizi tarayıcısısi, yanlış denemelerden sonra hiç şifre sormadan sınırsız sayıda parmak izi denemesine izin veriyor. Saldırgan bu sayede kauçuk ile alınan sahte parmak izlerini telefon kabul edene kadar deneyebiliyor.

samsung-s5-hack-parmak-izi-artmanik-1

Benzer bir metod IPhone TouchID sensörünü hack’lemek için de kullnılmıştı.  Başka dağıtıcıların yaşadığı bu gibi problemlerden ders almayıp böyle bir güvenlik açığıyla hatta daha kötüsüyle, Samsung’un ürün çıkarması, güvenlik araştırmacıları tarafından eleştiri konusu oldu.

SRE ‘den bir araştırmacı “başkalarının yaptığı hatalardan ders almamış gibi görünüyorlar… biometrics herz aman kolay bir güvenlik sağlarken, kullanıcılarının önemli verilerini ve ödeme hesaplarını riske atmayacak şekilde implemente etmek ise üreticilerin sorumluluğunda.” diye belirtti.Araştırmacılar, Kiliti devre dışı bırakma  (lock out) fonksiyonun S5 ‘te eksik olmasından yakınıyorlar. Oysa bu özellik IPhone ‘da mevcut. IPhone TouchID alttaki durumlarda parmak izi kilidini kaldırıp şifre soruyor:

  • 3 yanlış parmak izi denemesinden sonra
  • Telefon tamamen kapatıldıysa
  • Telefon unlock edilmesinin üzerinden 48 saat geçtiyse
  • TouchID ayarlarını değiştirmek ya da kaldırmak istendiğinide.
PAYPAL Kullanıcılarının dikkatine!
Samsung, parmak izi ile kimlik doğrulama özelliğiyle, Paypal ödemelerinin de yapılabilmesini sağlıyor. Sahte parmak izi ile yüksek miktarda para göndermek de mümkün.Saldırı nasıl gerçekleştirilebilir?
Tabi bu saldırıyı gerçekleştirebilmek için kullanıcının kullandığı telefona, bardağa ya da dokunduğu bir eşyaya fiziksel bir yakınlık olması gerekiyor. Ya da telefonu kaybeden biri olması.  Ardından latex bir kauçuğa parmak izi kopyalanarak saldırı gerçekleştirilebilir .  IPhone 5S çıktığından beri (Eylül 2013) , buna benzer bir saldırının kayıtlarda olmadığı da bildirildi.

Peki Samsung ve Paypal konuyla ilgili ne diyor?
Samsung verdiği bildiride; “Bu senaryo, sektörde bilinen deyimiyle genel tüketiciyi etkileyecek kritik riski oluşturmayan türden. Bu yapay deney, profosyonel ekipman, ortam ve materyaller gerektiriyor. Samsung güvenlik tedbirlerini çok ciddiye almaktadır. Cihazın güvenliğiyle ilgili tedbirlerimizi büyük bir enerjiyle  alıyoruz.” diye belirtti. Paypal Android topluluğu’na “SRE’nin güvenlikle ilgili bulgularını çok ciddiye alırken, mobil cihazlarda parmakizi ile yetkilendirmenin, şifrelerden ya da kredi kartlarından kolay ve çok daha güvenilir bir yöntem olduğuna inanıyoruz.” diye seslendi.PayPal entegrasyonu ekstradan kriptografik bir “anahtar” ekliyor iletişime, sadece şifre değil. Bununla ilgili de PayPal  “Kaybolan ya da çalınan bir cihazın anahtarı kolaylıkla iptal edilebilir ve yenisi yaratılabilir.” şeklinde devam etti.

İlginizi Çekebilecek Diğer İçerikler:

iPhone 6 ve iPhone 6+ : Daha Büyük, Daha Hızlı Heyecanla Beklenen Apple Watch Tanıtıldı iOS 8 ile İlgili Bilmeniz Gereken 20 Yeni Özellik Apple Logosunun Tarihçesi ve Dönüşümü Akasya AVM’de 2. Apple Store Açıldı! Apple CEO’su Tim Cook: Eşcinsel Olmaktan Gurur Duyuyorum Apple’ın iPhone Reklamlarındaki ”9:41” Sırrı Apple’ın Yeni Reklamı: The Song Mumbai’de Evli Olmadan Selfie Çekmek Yasaklandı İnternette Özgürlük ve Güvenliğin Sırrı: JetRouters

0 Yorum Yorum Yap →