Son haftalarda Pokemon GO oyunu ve kullanıcılardan istediği uygulama izinleri çok sıklıkla konuşuluyor. Aslında benzer izinleri ve hatta daha fazlasını cep telefonlarına indirilen pek çok uygulama istiyor ve çoğu kullanıcı bu izinlerin içeriğini dahi okumadan, bilmeden kabul ediyor. Bu izinlerin verildiği uygulamalar cep telefonun kamerasına, SMS mesajlarına, mikrofonuna, lokasyon bilgilerine, rehberine, internetine ve veri deposuna erişebiliyor.
Bu nedenle bu uygulamalar kullanıcıya ait pek çok bilginin kullanma, kopyalama ve bu bilgileri farklı cihazlara gönderme riskini de beraberinde getiriyor. Bu noktada birçok bankanın online bankacılık güvenliğini sağlayan KOBIL, SMS mesajlarına ve internete ulaşma izni alan uygulamaların bankalardan gelen SMS şifrelerini kötü niyetli kullanıcı telefonlarına internet üzerinden iletebileceği uyarısında bulundu.
Geçtiğimiz günlerde ABD’nin Ulusal Teknoloji ve Standartlar Enstitüsü (NIST) tarafından yayınlanan yeni Dijital Kimlik Doğrulama Kılavuzu‘nda da çevrimiçi uygulamalarının kimlik doğrulama için SMS’i kullanmaması tavsiyesinde bulunmuştu.
SMS ile kimlik doğrulamaya alternatif güvenlik
Pokemon GO benzeri birçok oyun ve uygulamanın kullanıcıların telefonlarına erişmek için izinler istediğini ve bu izinlerin kimlik doğrulamada SMS şifrelerini kullanan bankacılık işlemlerinde çok ciddi bir risk yarattığını söyleyen KOBIL Türkiye Ülke Müdürü Ümit Yaşar Usta, sundukları mAST çözümünün bugün için SMS-şifrelere alternatif olarak %25 pazar payına ulaşabilmiş tek güvenlik çözümü olduğuna dikkat çekti.
Merkezi Almanya’da bulunan Türk teknoloji şirketi KOBIL’in geliştirdiği mIDentity Application Security Technology (mAST) çözümü bugün sadece Türkiye’de 9 bankanın mobil bankacılık ve internet bankacılığı girişlerini, kullanıcı kimliklerini ve hesaptan para çıkışlarını korumak amaçlı kullanılıyor. 3 milyon üzerinde aktif kullanıcısı bulunan çözüm, Türkiye Bankalar Birliği’nin en son verilerine göre, Türkiye’de her dört mobil bankacılık kullanıcısından biri tarafından kullanılıyor.
KOBIL’in mAST çözümünün mobil bankacılık uygulamasının aktif edildiği andan itibaren bankanın uygulamasını müşteri cihazı ile ilişkilendirdiğini ve bu uygulamanın başka cihazlara kopyalanmasını engellendiğini belirten Usta, “Kullanıcı mobil bankacılığa giriş yaparken bildiği unsur olarak (1. faktör) şifresini girmekte ve sahip olduğu unsur olarak aktivasyon yaptığı mobil cihazını (2. faktör) kullanması gerekmektedir. Farklı bir cihaz veya farklı bir şifre kullanılması durumunda giriş işlemi durdurulmaktadır. Dijital imza ile giriş yapan kullanıcının hesabından para çıkışlarını da aynı cihaz üzerinde imzalaması istenebilmektedir. Bu sayede sadece bankacılık giriş işlemi değil para transferleri de 2-faktör kimlik doğrulama ile korunmaktadır. Uygulamaya yapılabilecek saldırılar, müdahaleler ise merkezi sistem tarafından algılanmakta ve işlem otomatik olarak durdurulmaktadır.” dedi.
Avrupa Birliği Otoritesi (European Banking Authority, EBA) ve Avrupa Birliği Ödeme Sistemleri Direktifi (Directive on Payment Services, PSD)’ne uygun şekilde geliştirilen KOBIL’in mAST 2-faktör güvenlik teknolojisi, benzer şekilde Alman Bankalar Birliği (Bundesverband deutscher Banken e.V. / Association of German Banks) ve Alman Bankalar Düzenleme ve Denetleme Kurumu (Federal Financial Supervisory Authority, BaFin) tarafından da tek cihaz üzerinde (cep telefonu ile) 2-faktör doğrulama sağlayabilen tek çözüm olarak kabul ediliyor.