Programcılar genellikle iOS, Android gibi popüler akıllı mobil cihaz işletim sistemleri platformlarındaki temel programlama dillerini kullanarak uygulamalarını geliştiriyorlar. Ancak özellikle Android tabanlı cihazların ekran boyutlarındaki farklılıklar ve farklı platformlara daha kolay uygulama geliştirmek için HTML5 popüler uygulama geliştirme dillerinden birisi haline dönüşmeye başladı. Tahminlere göre 2016 yılında mobil uygulamaların yüzde 50’den fazlası HTML5 teknolojisi ile kodlanırken kısmen JavaScript kullanılacak.
Bu durum uygulama geliştiriciler için büyük kolaylık sağlasa da ABD Syracuse Üniversitesi Profesörlerinden Kevin Du; “bir felakate hızla yaklaşıyoruz” diyerek bu gelişmeyi ele alıyor ve yaşanabilecek bir senaryoyu şöyle özetliyor; “Bir hava alanındaki ücretsiz Wi-Fi bağlantısını kullandığınız anda saldırganlar zararlı kodları telefonunuza yükleyebilir. Bu kodlar kendini kopyalayarak rehberinizdeki tüm arkadaşlarınıza kendisini yollayabilir.”
Tamam, elimizde bir felaket senaryosu var fakat bu durum bir senaryo olmanın ötesine taşınabilir mi? SyracuseÜniversitesi Bilgisayar Bilimleri ve Mühendisliği Fakültesinde gerçekleştirilen bir araştırmaya göre Cross-Device Scripting (XDS) saldırıları HTML5 teknolojisini zayıf yönlerinden birisini oluşturuyor. Bu araştırmanın tam metnine buradan ulaşabilirsiniz.
Araştırmanın teknik detaylarına girmeden bu çalışmayı yapan ekibin verdiği dört farklı saldırı senaryosuna göz atacak olursak;
- Bir hava alanında HTML5 tabanlı bir uygulama ile ücretsiz Wi-Fi noktalarını tararken saldırıya maruz kalabilirsiniz.
- Eğer aldığınız SMS’leri okumak için HTML5 tabanlı bir uygulama kullanıyorsanız saldırıya maruz kalabilirsiniz.
- Eğer MP3 dosyalarını dinlemek için HTML5 tabanlı bir uygulama kullanıyorsanız saldırıya maruz kalabilirsiniz.
- Eğer HTML5 tabanlı bir uygulama ile bir barkod okutursanız saldırıya maruz kalabilirsiniz.
Yukarıdaki senaryolar aslında sosyal medyadaki eylemleriniz ve internet üzerinde gerçekleştirdiğiniz tüm etkileşimleri kapsayabilecek nitelikte olduğunu açıkça görebiliyoruz. Araştırma ekibi şimdiden Android, iOS ve Blackberry sistemlerinde bu tarz işlevler yerine getirebilecek 14 tane HTML5 uygulaması tespit ettiklerini belirtiyorlar.
Görünen şu ki BT yöneticileri HTML5 teknolojisini hem uygulama hem de platform olarak kullanırken artık çok daha dikkatli olmaları gerekiyor.
Aşağıdaki videodan Profesör Kevi Du’nun gerçekleştirdiği sunumu ve bu saldırıların nasıl gerçekleştirildiğini izleyebilirsiniz.