Dünyaca meşhur bir hacker olan Ryan Montgomery, başkasının telefon şarj aletini asla kullanmamanız icap ettiğini, şundan dolayı bunun verilerinizin çalınmasına yol açabileceğini deklare etti.
Firmalar ve kuruluşlar tarafınca dijital sistemlerinin güvenlik açıklarını kontrol eden bir siber güvenlik uzmanı olan Ryan Montgomery, becerileri yardımıyla popüler siber güvenlik eğitim sitesi TryHackMe’de bir numaraya kadar yükselmiş bir isim.
Tamamen düzgüsel görünen bir iPhone yada Android şarj aletinin bilgisayarınızda yada telefonunuzda ne benzer biçimde hasarlara yol açabileceğini özetleyen Montgomery, durumu şu şekilde özetliyor:
- Bu kurnazca geliştirilmiş şarj kablosunun içinde, bir web sunucusuna, USB iletişimine ve Wi-Fi erişimine haiz gizli saklı bir bölüm bulunuyor
- Bu bölüm, tuş vuruşlarının kaydedilmesine, kimlik bilgilerinin çalınmasına, verilerin sızdırılmasına ve hatta fena amaçlı yazılım yerleştirilmesine olanak sağlıyor
“O.MG kablosu” olarak adlandırılan bu aygıt, 2019 senesinde 180 dolara satışa sunuldu.
Instagram’da yayınladığı bir videoda, basit bir şarj aleti benzer biçimde görünen aleti yeni bir bilgisayara takan Montgomery, “Bu tamamen işlevsel bir kablo, bununla bir telefonu şarj edebilirsiniz” dedi ve arkasından aslolan mevzuya geldi:
Kabloyu taktığım bu bilgisayara artık tam olarak erişebiliyorum
Montgomery, telefonunu kablonun öteki ucuna bile takmadan, yalnızca telefonundaki bir düğmeyi kullanarak bilgisayara uzaktan erişim sağlamış oldu.
Aleti satan Hak52’in internet sayfasında, “Bu kablo, Red Team’inizin sofistike düşman saldırılarını simüle etmesini sağlamak için tasarlandı. Eskiden bu şekilde bir kablo 20 bin dolara mal olurdu” ifadesi kullanılıyor. Bilmeyenler için Red Team, gerçek saldırıları simüle eden bir siber güvenlik uzmanları grubu.
Kablonun yaratıcısı olan güvenlik araştırmacısı Mike Grover, “Bu, öteki kablolarla aynı görünen bir kablo. Sadece her kablonun içine bir web sunucusu, USB iletişimi ve Wi-Fi erişimi olan bir implant yerleştirdim. Böylece fişe taktığınızda açılıyor, siz de ona bağlanabiliyorsunuz” diyor.
Grover, kablonun bir cihaza 300 metreye kadar uzaktan erişim sağlayabileceğini ve kablonun yakındaki bir kablosuz ağa istemci olarak bağlanacak şekilde yapılandırıldığında, mesafenin sınırsız hale geleceğini iddia ediyor.
Düzgüsel bir kullanıcının bu tehlikeli kablolardan birini kullanıp kullanmadığını anlaması olanaksız, aynı şekilde etken bir hücum altında olup olmadığını anlamasının da neredeyse hiçbir yolu yok. Bu yüzden, O.MG kablosu dünyanın “en tehlikeli USB kablosu” olarak anılıyor.
Daha kaygı verici olan kısım, O.MG kablosunun yeteneklerinin giderek daha sofistike hale gelmesi. Grover, Forbes’a 2023’te piyasaya sürülecek yeni kabloların “Elite serisi”nin USB-A Kabloları, USB-C Kabloları, USB-A – C Adaptörleri ve hatta USB Veri Engelleyicileri dahil olmak suretiyle birçok değişik formda bulunduğunu, bundan dolayı tüm bu kabloların fena amaçlı kullanılabileceğini söylemiş oldu.
Bu son seri ile beraber gelen yeni güncellemeler, kablolara veri sızdırma (yada veri çalma) kabiliyetini de ekliyor.
O.MG kablosu her ne kadar fena niyetli kişiler tarafınca kolayca elde edilip kullanılsa da, aslına bakarsak Montgomery benzer biçimde veri sistemlerindeki güvenlik açıklarını kontrol eden ustalaşmış hackerlar için tasarlandı. Bu yüzden Grover, kablolara bir Red Team’in kablonun erişim aralığını belirli bir konumla sınırlandırılmasını elde eden bazı güvenlik önlemleri ekledi.
Mesela söz mevzusu güvenlik önlemleri etkinleştirildiğinde, kablo belirli bir bölgenin dışına çıkması halinde çalışmayacak yada kendi kendini imha edecek.
Sadece görünüşe bakılırsa bazı fena niyetli hackerlar, O.MG kablosunu eline geçirmiş. FBI, 2023 senesinde “Fena niyetli kişiler, cihazlara fena amaçlı yazılım ve casus yazılım yüklemek için halka açık USB bağlantı noktalarını kullanmanın bazı yollarını buldu” açıklamasında bulunmuş oldu.
Federal İletişim Komisyonu (FCC) ise daha ilkin, bilgisayar korsanlarının verileri çalmak için havalimanlarında yada otel lobilerinde olanlar benzer biçimde USB bağlantı noktası şarj istasyonlarını kullandığı “juice jacking” mevzusunda bir uyarı yayınlamıştı. Juice jacking, şarj ve veri aktarımı için aynı kabloyu (çoğu zaman USB kablosu) kullanan akıllı telefon ve tablet benzer biçimde cihazların kuramsal olarak tehlikeye atılması anlamına gelen bir ifade.
Sadece bu senaryoda cihazınızı hackleyen şey kablo değil, şarj istasyonunun kendisi oluyor. Bunun teknik olarak mümkün olduğu kanıtlanmış olsa da, siber güvenlik uzmanları basit insanoğlu için risk düzeyinin düşük bulunduğunu söylüyor.
Gene de O.MG kablosunun ciddi bir tehdit unsuru olduğu yadsınamaz bir gerçek. Bu yüzden uzmanlar, verilerinizin çalınabileceği ihtimalini göz önünde bulundurarak satın almadığınız herhangi bir şarj cihazını kullanmamanızı tavsiye ediyor.
Kaynak: DailyMail / Yapıt Şahin tarafınca Türkçeleştirildi
