Hepimiz günde en az bir defa müşterisi olduğumuz bankanın mobil uygulamasını kullanıyoruzdur. Üstelik bilgisayarımızdan giriş yaparken olduğu kadar da dikkat göstermiyoruz. Peki mobil bankacılık uygulamaları ne kadar güvenilir? Yazımızdaki sonuçlar sizi çok şaşırtacak!
Telefonumuzda ya da tabletimizde her gün mutlaka kullandığımız uygulamalardan biri de müşterisi olduğumuz bankanın ya da bankaların mobil uygulamaları. Onlara kimi zaman yolda, kimi zaman arabada giriş yapıyor ve neredeyse hiçbir zaman da güvenliklerini sorgulamıyoruz. Oysa ki yapmamız gereken tam da bu. Çünkü bu uygulamalar zannettiğimiz kadar güvenli olmayabilir.
Yazımıza konu olan güvenlik testleri Android ve iOS olmak üzere iki farklı kategoride gerçekleştirildi. Güvenlik ve veri sızıntı zaafiyetleri ise işletim sistemi ve uygulama kaynaklı olmak üzere iki kategoriye ayrıldı. Sırası ile man-in-the-middle, data-at-rest, credential, mobile malware test edildi.
Mobil bankacılık uygulamalarının %60’ı saldırıya açık!
IHS Telekom Güvenlik Laboratuarı tarafından Şubat 2016’da yapılan zaafiyet testi sonuçlarına göre Türkiye’nin en önemli on bankasından altısının mobil bankacılık uygulaması güvenlik zaafiyetleri içeriyor. Bu zaafiyetlerden yararlanılarak gerçekleştirilebilecek fraud saldırıları ciddi kayıplara yol açabilir. ‘Kullanıcı adı ve şifre hırsızlığı’, kimlik ve kredi kartı bilgilerini çalabilecek saldırılar, mobil cihazda depolanmış data’nın ‘çalınması’ bu risklerin en önemlileri olarak göze çarpıyor.
Tespit edilen zaafiyetler çerçevesinde, sorunlu uygulamalarda kullanıcıların mahremiyeti tehdit altında görünüyor. Bu zaafiyetlerin mobil bankacılık kanalına olan güvenin sarsılması yönünde ciddi sonuçları olabilir. Özellikle mobil bankacılık kanalının, masaüstü internet bankacılığının önüne geçmeye başladığı bir dönemde, her tür riskin değerlendirilmesi son derece önemli.
Mobil bankacılık uygulamalarındaki güvenlik zaafiyetleri ile ilgili olarak IHS Telekom Genel Müdür Yardımcısı Bülent Özkan’ın açıklamaları ise sektöre gerçekçi bir uyarı niteliğinde: “Bu araştırma sonuçları bankacılık sektörümüz için, ciddiye alınması gereken önemli bir uyarı. Bankalarımız hizmet ve güvenliklerinin dünya standartlarında olduğunu ispatlamak için çok çalışıyorlar. Mobil bankacılık, sektörün geleceği konumunda ve biz de firma olarak bankacılık sektöründeki müşterilerimize en iyi güvenliği sağlıyoruz.”
RİSK VAR AMA ÇÖZÜM ZOR DEĞİL
Yapılan araştırma ülkemizdeki mobil bankacılık uygulamalarının çoğunluğunun güvenlik açıkları olduğunu ve bu sebeple kullanıcıların risk altında olduğunu ortaya koymuş durumda.
Mobil bankacılık uygulamaları için en büyük riskler arasında man-in-the-middle attacks, data-at-rest theft, mobile malware and Android and iOS vulnerability exploits bulunuyor. Banka müşterileri bu uygulamaları indirirken, finansal bilgilerinin risk altında olduğunun farkında değil. İlgi çekici noktalardan biri de güvenlik açıklarının jailbreak veya root edilmemiş, üretici tarafından desteklenen işletim sistemlerinde de görülüyor olması.
Credential Theft
Kullanıcının cep telefonuna indirdiği bir profil veya rogue uygulama ile mobil uygulama üzerinde kullanıcının giriş yaptığı kullanıcı adı veya şifre bilgisi elde edilebiliyor. Buna mobil ve online bankacılık sistemlerine girerken kullandığımız şifreler ve bu şifreleri üretmek için kullandığımız paralolar da dahil.
Man-in-the-Middle
Bu saldırı tekniği ile mobil uygulama ile banka arasındaki iletişimin arasına girilip, mobil uygulamasının içerisindeki linkler değiştirilebiliyor ve normal şartlarda uygulama içerisinde var olmayan içerikler kullanıcılara gösterilebiliyor. Saldırgan bu şekilde kullanıcının anne kızlık soyadı, TC. kimlik numarası, kredi kartı ve online bankacılık şifresi gibi bilgilerini uygulama üzerinden kullanıcıya sorarak elde edebiliyor.
Data-at-Rest Theft
Bu saldırı tekniği mobil uygulamaya ait bazı kodların, veritabanı scriptlerinin ve dosyaların, saldırgan tarafından erişilebilir olmasını sağlıyor. Böylece saldırgan kullanıcının göremediği ancak uygulamanın içerisinde yer alan bazı hassas bilgilere erişebiliyor.
Mobile Malware
Mobil malware’ler farklı teknikler ile kullanıcıdan ve mobil uygulamadan bilgi toplama yeteneğine sahip. Mobile Malware‘ler bankaya özel geliştirilebilir. Bunun için saldırganların, tek bir bankanın mobil uygulamasını hedef alacak yazılımı üretmesi ve yayması gerekiyor. Saldırı yüzeyinin daraldığı ve yapılacak iş miktarının arttığı bu teknik yerine saldırganlar daha çok tüm cep telefonlarında çalışan ve tüm bankaları hedef alacak olan SMS forwarding (SMS yönlendirme) tekniğini tercih ediyor. Bu senaryoda mobil ve online bankacılık uygulamasına girerken kullanılan ikinci factor doğrulama bilgisi, kullanıcının mobil cihazında kurulu olan bir uygulama ile farklı numaralara yönlediriliyor. Bu saldırı tipi daha çok Android cihazlarda görülüyor.
Onda altı gibi bir oranın çok yüksek olduğuna dikkat çeken, IHS Telekom Genel Müdür Yardımcısı Bülent Özkan, Türkiye’deki lider bankaların %40 oranında birbirine benzeyen güvenlik açıkları barındırdığını ancak karamsar olmamak gerektiğini söylüyor. Bunun sebebini ise şöyle açıklıyor: ‘Mobil bankacılık uygulamalarının güvenliği yeni yeşeren bir kavram. Dünya çapındaki lider bankalar da geçtiğimiz yıllarda benzer güvenlik açıkları ile karşılaştılar, hala birçok uluslararası bankanın mobil bankacılık uygulamasında benzer zaafiyetler bulunuyor.
Bu aşamada hızlı ve doğru kararlar alıp, uygun teknolojilerle mobil uygulamaların güvenliği sağlanabilir. Bu yolla muhtemel riskler bertaraf edilmiş olacaktır.’
Bu araştırma IHS Telekom Spam Dergi Q1 2016 Sayısında yayınlanmıştır. Spam Dergiyi dilerseniz online okuyabilirsiniz.