Mobil cihaz SSL güvenlik problemleri

Geçtiğimiz hafta ACM Bilgisayar ve Haberleşme Güvenliği Konferansı’nda sunulan bir makalede özetlenen araştırmaya göre 41 Android uygulamasında SSL kanalları doğru bir şekilde çalışmıyor ve saklı kalması gereken bilgileri sızdırıyor. Android cihazları bir ağa bağlayan araştırmacılar SSL kanalına birkaç farklı şekilde saldırarak kolaylıkla banka ve kredi kartı bilgilerini elde ettiklerini gösterdiler. Ayrıca, Facebook, e-posta ve bulut login bilgilerini ve mesajları elde etmek, IP kameraların kanallarına girmek mümkün.
Bütün bunların olmasının arkasında temel tek bir neden var: Cihaz SSL/TLS yazılımları veya onları kullanan yazılımlar güvenli değil. Güvensizliğin nedeni SSL yazılım mimarisi değil de Android cihaz uygulamaları. Benim gördüğüm şu: Pazar ihtiyacına hızla cevap verme isteği SSL ve uygulama yazılımlarının acele ile ve yeteri kadar test edilmeden orta sürülmesine neden oluyor. Bir anlamda güvenlik sahada test ediliyor. Bunun ne kadar sakıncalı olduğunu hala öğrenememiş olanlarımız hala var.
Uygulamalar birçok eksiklik, yorumlama ve yazılım hatasıyla dolu ve bu hatalar açık noktalar yaratıyor:
. Bazı uygulamalar, kendilerine sunulan sertifikaların hepsini kabul ediyor; sunulan sertifikanın geçerliliğine bile bakmıyor. Dolayısıyla uydurma bir sertifika verip, istediğiniz bir uygulamayı yüklemeniz mümkün.
. Bazı uygulamalar, kırılan bir SSL kanal nedeniyle veya SSL kanal varlığına bile bakmadan, login bilgilerini açıktan gönderiyor.
Tüketicilerin mobil cihazlara olan yüksek ilgisine cevap verme isteğini anlıyorum. Ancak, önemli finansal değerlere ulaşım sağlayan uygulamaların (İnternet bankacılığı en başta) çok daha dikkatlice yazılması ve çok daha fazla test edilmesi gerekir. Eğer güvenlik varsayımınız, “SSL var ve onu kullanıyoruz” ise bu makalede sunulan araştırmadan sonra, umarım öyle düşünmezsiniz. Araştırmacılar Google istatistiklerine bakarak 185 milyondan fazla kullanıcının bu hatalı uygulamalarını kullandığını söylüyor.
Çok endişe verici.