Tehlikeli basit telefonlar

Diğer birçok modern cihaz gibi, görünüşte “akıllı” olmayan basit telefonlar aslında düşündüğünüzden çok daha akıllı. Ve bu durum bir sorun olabilir.

Yakın tarihte yapılan bir incelemede, yaklaşık 10–20 dolar arasında satılan beş giriş seviyesi cep telefonuna ilişkin güvenlik konusu ayrıntılı olarak ele alındı. Çoğunlukla “basit telefon” veya “anne telefonu” olarak bilinen bu tür telefonlar, daha çok akıllı telefonlara alışamayan veya kullanmak istemeyen yaşlı akrabalar için satın alınıyor ve aynı zamanda “yedek telefon” olarak da kullanılıyor. Ayrıca bazıları, bu telefonların Android destekli akıllı telefonlardan daha güvenli olduğuna inanıyor.

İncelemeyi yapan kişi bu son kısmın öyle olmadığını ispatladı. Beş telefondan dördünde gizli işlevler bulunduğunu keşfetti: İkisi ilk açılışta veri gönderiyordu (telefonun yeni sahibinin kişisel bilgilerini sızdırıyordu), diğer ikisi ise yalnızca özel verileri sızdırmakla kalmıyor, aynı zamanda internet üzerinden bir komut sunucusuyla gizlice iletişim kurarak kullanıcının ücretli içeriğe abone olmasını sağlayabiliyordu.

Etkilenen anne telefonları

Çalışmanın sahibi, bu basit cihazların donanım yazılımını analiz etmek için kullanılan yöntemler hakkında, teknik özellikleri aynı analizi tekrarlamak isteyenler için ilginç olabilecek bilgiler sunuyor. Bunu bir kenara bırakıp doğrudan bulgulara geçelim.

Beş telefondan ikisi, ilk açılışta kullanıcı verilerini bir yere gönderiyor. Verilerin kime gittiği — üretici, distribütör, ürün yazılımı geliştiricisi veya başka biri — konusu net değil. Verilerin nasıl kullanılacağı da öyle. Bu tür verilerin, satışları takip etmek veya farklı ülkelerdeki ürün partilerinin dağıtımını kontrol etmek için kullanılabileceği düşünülebilir. Açık olmak gerekirse, kulağa çok da tehlikeli gibi gelmiyor; sonuçta her akıllı telefon bir miktar telemetri verisi iletiyor.

Bununla birlikte, tüm büyük akıllı telefon üreticilerinin en azından topladıkları verileri anonimleştirmeye çalıştıklarını ve verilerin gittiği yerin az çok net olduğunu da unutmayın. Ancak bu örnekte, telefon sahiplerinin hassas bilgilerinin kim tarafından rızaları dışında toplandığı konusunda hiçbir şey bilinmiyor. Örneğin, telefonlardan biri yalnızca seri numarasını, etkinleştirildiği ülkeyi, ürün yazılımı bilgilerini ve dilini değil, aynı zamanda kullanıcının yaklaşık konumunu belirlemeye yarayacak baz istasyonu bilgisini de iletiyor.

Dahası, verilerin toplandığı sunucuda herhangi bir koruma da bulunmuyor, ki bu da bilgilerin herkese açık olmasını sağlıyor. Konuya ilişkin bir detay da aktarımın internet üzerinden gerçekleşmesi. Açık olmak gerekirse, basit bir telefon kullanan kişi, cihazın internete bağlanabileceğinin farkında bile olmayabilir. Dolayısıyla, her şey bir yana, arka planda gerçekleşen bu gizli faaliyetler sürpriz internet faturalarına neden olabilir.

İncelenen gruptaki başka bir telefon, kullanıcı verilerini sızdırmanın dışında, telefonun sahibinden para çalmak üzere programlanmış. Ürün yazılımının analizine göre telefon, internet üzerinden komut sunucusuyla iletişime geçiyor ve ücretli servis numaralarına gizlice kısa mesajlar göndermek de dahil olmak üzere sunucudan gelen talimatları yerine getiriyor.

Sonraki telefon modeli ise çok daha da gelişmiş kötü amaçlı işlevlere sahipti. Telefonun gerçek kullanıcılarından birinin anlattığına göre telefon numarası, hiç tanımadığı biri tarafından Telegram’a kaydolmak için kullanılmıştı. Nasıl böyle bir şey olabilir ki? Hemen hemen her mesajlaşma uygulamasının kayıt sürecinde, SMS ile bir onay kodunun gönderildiği bir telefon numarası verilmesi gerekiyor. Ancak görünen o ki telefon, bu gelen mesajı yakalayabiliyor, onay kodunu bir C&C sunucusuna iletebiliyor ve bu arada bu süreci telefon sahibinden gizleyebiliyor. Her ne kadar önceki örneklerde durum beklenmedik masrafların çok ötesine geçmiyor olsa da, bu senaryoda, örneğin açılan hesabın suç faaliyeti amacıyla kullanılması gibi gerçek yasal sorunlar yaşanması riski bulunuyor.

Tuşlu telefonların güvenli olmadığını öğrendiğime göre şimdi ne yapmam gerekiyor?

Gününüz alt sınıf telefonlar ile 10 yıl önceki benzerleri arasındaki fark, artık çok ucuz devrelerde bile internet erişiminin yer alabiliyor olmasıdır. Bu, diğer kötü amaçlı işlevleri olmayan bir cihazda bile hoş olmayan şeylerin ortaya çıkmasına neden olur: Özellikle internete bağlantısı olmadığı için seçilen bir telefon buna rağmen internete bağlanıyor olabilir.

Daha önce, aynı araştırmacı başka bir tuşlu telefonu analiz etmişti. Telefonda kötü amaçlı bir işlev bulamamasına rağmen, kullanıcının bir kısa mesajla ödeme yaparak tam sürümlerine ulaşabileceği, ücretli burç yorumu aboneliği ve demo oyunlar menüsü yer alıyordu. Başka bir deyişle, özellikle internet bağlantısı ve uygulamaların bulunmaması nedeniyle satın alınan bir telefonda yaşlı bir akrabanız veya çocuğunuz yanlış tuşa basabilir ve masraf doğuracak hatalara neden olabilir.

Bu “etkilenen” cep telefonları hikayesini önemli kılan şey, genellikle “ekstra özellikleri” ekleyen tarafın Çin’deki üretici veya satıcı olmasıdır, bu nedenle yerel distribütörler sorunun farkında bile olmayabilirler. Durumu karmaşık hale getiren bir diğer konu da, tuşlu telefonların küçük gruplar halinde ve çok sayıda farklı modelde gelmesi ile ürün yazılımı detaylı şekilde incelenmediği sürece, normal bir telefonun güvenliği ihlal edilmiş bir telefondan ayırt etmenin zor olmasıdır. Açıkçası, tüm distribütörlerin düzgün bir şekilde ürün yazılımı kontrolünü yapacak bütçesi yoktur.

Bu yüzden akıllı bir telefon satın almayı tercih etmek daha kolay olabilir. Ancak tabii ki bu, bütçeye bağlıdır ve ne yazık ki ucuz akıllı telefonlarda da benzer kötü amaçlı yazılım sorunları bulunuyor olabilir. Yine de gücünüz yetiyorsa — çok basit bile olsa — büyük bir üreticiye ait telefon almak, özellikle tuşlu bir cihaz seçme nedeniniz basit, güvenilir ve gizli işlevlerden arınmış bir telefon kullanmaksa çok daha güvenli bir tercih olacaktır. Güvenilir bir antivirüs uygulaması ile Android risklerini azaltabilirken, basit telefonlarda böyle bir kontrol bulunmuyor.

Yaşlı akrabalara gelince, gelen aramaları telefonun kapağını açarak cevaplamaya alıştılarsa, dokunmatik ekrana adapte olmaları pek mümkün olmayabilir ancak bizce yine de denemeye değer. Pek çok yaşlı insan kolayca akıllı telefonlara geçiş yaptı ve artık mutlu bir şekilde mobil bilgi işlem dünyasını deneyimleyebilirler.

İpuçları