Baz İstasyonları ve Cep Telefonları Tehlikede mi?

Kodlarda bulunan kritik bir hata, kötü niyetli saldırganların cep telefonlarını, hatta baz istasyonlarını hedef almasını sağlayabilir. Bu açık ile ilgili bir yama çıkarılmış olsa bile, milyonlarca cihaza bu yamayı yapmak oldukça zor.

Güvenlik araştırmacılarının kod kütüphanesinde keşfettiği kritik bir açık, cep telefonları hatta telekomünikasyon altyapıları gibi birçok hizmeti ele geçirmeye olanak sağlıyor. Hata, telefon kulelerindeki radyolar, yönlendiriciler, anahtarlar ve cep telefonları gibi cihazların kod kütüphanesinde bulunuyor.

Açığın kaşiflerinin bir blog yazısı şöyle;
“Senaryolarda, bu açığın uzaktan ve güvenlik doğrulaması olmadan, ASN.1 verilerinin geldiği ve işlendiği kodlardan tetiklenebileceğini bulduk. Bunlar, mobil cihazlar ve telekomünikasyon ağı altyapı birleşim yerleri arasındaki iletişimi, taşıyıcı ağın birleşim noktaları arasındaki iletişimi veya veri ağındaki karşılıklı güvenilmeyen uç noktalar arasındaki iletişimi içerebilir.”

Rapora göre, hatanın “core run time support” kütüphanesinde bulunması nedeniyle, var olabilecek senaryolarda açıkları analiz etmek oldukça zor. Ayrıca bu analiz için büyük bir beceri ve kaynak gerekmekte.

Ancak eğer saldırganlar başarılı olabilirse, bu kodu kullanan hemen hemen her cihazda zararlı kod çalıştırabilirler. Eğer daha öldürücü bir saldırı gerçekleştirilirse, bahsi geçen açık, taşıyıcı ekipmanları da riske sokabilecek potansiyele sahip.

Açığı içinde bulunduran kod kütüphanesi Pennsylvania kökenli Objective Systems tarafından geliştirildi ve ASN.1 (Abstract Syntax Notation One) olarak bilinen bir telefon standardını uygulamak için yaygın olarak kullanılmakta. Şirket bu açık için bir düzeltme yaması yayınladı fakat güvenlik uzmanları dünya üzerinde dağınık bir şekilde bulunan milyonlarca donanım parçasının yamalanmasının çok zor olduğunu, dolayısıyla problemin uzun bir süre düzeltilemeyeceğini farz ediyor.

CERT’e arka çıkan Department of Homeland Security’e göre, şimdiye kadar bu açıktan etkilenen tek donanım üreticisi Qualcomm. Qualcomm donanımı özellikle telefon ve tablet pazarında sıkça kullanılıyor. Araştırmacılar hala AT&A, BAE Systems, Broadcom, Cisco Systems, Deutsche Telekom ve Ericsson gibi farklı donanım üreticilerinin etkilenip etkilenmediğini araştırıyor.

Kaynak: ibtimes.co.uk