Mobil Güvenlik

Günümüzde cep telefonları, mesaj atmak ve konuşmak gibi basit iletişim aracı olarak kullanılmaktan öteye giderek medya, oyun, İnternet ve doküman yönetimi için kullanılan cihazlara dönüştü. Akıllı cep telefonları denilen bu cihazların çeşidi ile beraber sayıları da arttı ve bu artış hızla devam ediyor. Şu anda piyasada bulunan cep telefonlarında kullanılan işletim sistemlerinin çoğu iPhone OS, Android ve RIM OS gibi gelişmiş mobil işletim sistemlerinden oluşuyor.

 

iPhone OS, Apple firmasının geliştirdiği iPhone ve iPad gibi cihazların da kullandığı işletim sistemidir. Android, içinde işletim sistemi ve değişik amaçlı hazır uygulamalar bulunduran, mobil cihazlar için geliştirilmiş Linux temelli işletim sistemidir. RIM OS, RIM tarafından geliştirilmiş işletim sistemidir. Bu işletim sistemlerinin kullanımı ile beraber sayısal ortamda karşılaşılan güvenlik problemleri mobil dünyada da kendini göstermeye başladı. Virüsler ve kullanıcıların bilgilerini çalan, telefonun çeşitli özelliklerini kullanıcının haberi olmaksızın kullanan programlar, mobil dünyadaki en önemli güvenlik  problemlerini oluşturuyor.

Virüsler ile ilgili genel duruma bakıldığında bilgisayar virüslerinin sayısı yarım milyar, mobil virüs sayısı da 1227 dolayında ve bu  virüsler her geçen yıl katlanarak artıyor. Cep telefonları arasında yayılan virüsler, kullanıcıdan habersiz, telefonda bulunan iletişim bilgilerini de kullanarak mesajlar yollayabiliyor ya da telefonda kayıtlı bulunan banka bilgileri ya da şifreleri gibi önemli bilgileri mesaj yoluyla çalabiliyor, hatta telefonda bulunan kayıtlı bilgileri silebiliyor. Kullanıcının haberi olmadan günde 10 tane uluslararası telefon numarası arayarak bedeli yüksek faturalara neden olabiliyor. Diğer yandan bu gibi olaylarda aynen kişisel bilgisayarlarda olduğu gibi cep telefonu üzerinden yasal olmayan işlemlerin yapılmasına da olanak tanıyor. Cep telefonlarında virüslere karşı koruma sağlamak için şu gibi basit önlemler alınmalı, Bluetooth sürekli açık olmamalı, Bluetooth şifreleri kırılması zor güçlü şifreler olmalı. Bilinmeyen, güvenliğinden emin olunmayan sitelere girilmemeli.

Telefonlara kurulan uygulamalardan gelen tehlikelere bakıldığında, kaynağı bilinen ve güvenilen uygulamalar dışında kaynağı çok da tanınmayan birçok uygulama bulunmaktadır. Kullanıcıların, uygulamaları telefonlarına kurmadan önce dikkat etmeleri gereken bazı hususlar var. Telefona bir uygulama kurarken uygulamanın yetkili bir otorite tarafından kontrol edilmiş olmasına veya uygulama üreticisine dikkat edilmeli. Örneğin, Apple marketinde (App Store) bulunan uygulamalar, markete koyulmadan önce uygulamanın belirtilen işlevi dışında herhangi bir aktivitesi olup olmadığı, kullanıcı bilgilerini çalmaya yönelik ya da yetkisiz olarak telefon özelliklerinin kullanıp kullanmadığı gibi kontrolleri yapıyor. Eğer uygulamada herhangi bir art niyet yoksa markette yayınlanıyor. Apple bu uygulamasıyla biraz daha güvenilir uygulamalar sunmakla beraber Android markette durum bundan farklı. Market uygulamaları, herhangi bir kontrole tabi tutulmadan yayınlanıyor. Android işletim sistemi, bir uygulamanın telefonda hangi kaynaklara eriştiği ve kullandığı, tükettiği bellek miktarı gibi bilgileri detaylı olarak kullanıcıya gösterebiliyor. Bu yüzden uygulamanın güvenliği ile ilgili durum kullanıcının kontrolündedir.

Android uygulama izinleri

Kullanıcı Android markette ya da İnternette başka kaynaklarda bulduğu her uygulamaya güvenmemeli, uygulamanın kendinden habersiz olarak bilgilerini çalabileceğini, telefon özelliklerini kullanarak arama yapma ya da arama engelleme, mesaj atma, İnternete bağlanma gibi kötü niyetli aktivitelerde bulunabileceğini farkında olmalıdır.

Virüsler ve kötü niyetli hazırlanmış programlar dışında bir de webden gelen tehlikeler akıllı cep telefonlarını etkilemeye başladı. Örneğin Android işletim sistemi kullanan telefonda tesbit edilmiş  SD karttan bilgi çalınmasıyla ilgili bir açıklık var: Bir web sayfası açıldığında SD kart altında depolanır. Eğer sayfada SD karttan dosyaları istenen yere gönderebilecek bir javascript kodu varsa kullanıcıya da herhangi bir uyarı gösterilmeden bilgiler başarıyla çalınır. Android 2.3 (Gingerbread) ile bu açıklığa SD kart varsayılan ayarlarda şifrelenerek çözüm getirilmiştir. Açıklık bulunan sürümleri kullanan cihazlarda,

1.     Web tarayıcısında javascript çalışmasını engellemek,

2.     Başka bir web tarayıcı kullanmak. Örneğin Opera,

3.     SD kartı “unmount” ile sistemden kullanımını kaldırmak

Bu saldırıyı engellemek için yapılacak çözümler arasında. Saldırı Android’e özel bir açıklık olmayıp diğer akıllı işletim sistemleri (RIM, iPhone OS vb.) üzerinde de gerçeklenebilir. Genel kapsamda telefonlarda olabilecek bu gibi durumlardan korunma yöntemleri şu şekilde genelleştirilebilir:

1.     Kullanılan işletim sisteminin, Web tarayıcı ve Adobe flash gibi uygulamaların mevcut güncellemeleri yapılmalı,

2.     Çok kritik sayılabilecek bilgiler telefonda saklanmamalı.

3.     Şifreleme uygulamalarıyla saklanan bilgiler kriptolu olarak korunmalı.

4.     Kullanıcının izin verdiği uygulamaların veri transferi yapmasını sağlayan ve log tutan uygulamalar kullanılmalı.

Akıllı cep telefonlarında güvenlik problemleri giderek kendisini gösterecek gibi gözüküyor. Bu güvenlik problemleri sonucunda mağdur olmamak için kullanıcıya düşen, bir gelişmiş bilgisayarda görülebilecek güvenlik tehlikelerinin bu akıllı cihazlarda da  olabileceğini  anlayarak kullanımındaki güvenlik farkındalığını oluşturmak olmalıdır.