Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri OWASP-TR Mobil Güvenlik Çalıştayı 2015 (14 Ekim 2015)

1. HİZMETE ÖZEL
QRishing Saldırıları
Ve
Önlemleri
Hüseyin Aslanoğlu

2. HİZMETE ÖZEL TASNİF DIŞI
2/13
İçerik
• QR kod nedir?
• QRishing saldırısı nedir?
• QRishing saldırı senaryoları nelerdir?
• Güvenli QR kod kullanımı nasıl sağlanabilir?
• Mobil güvenli QR kod tarayıcısı
• Güvenli QR kod oluşturulması

3. HİZMETE ÖZEL TASNİF DIŞI
3/13
• Akıllı telefonların kameralarından okutulabilen özel
matriks barkodlarına verilen addır.
• Finder Pattern (1), Separators (2), Timing Pattern (3),
Alignment Patterns (4), Format Information (5), Data (6),
Error Correction (7), Remainder Bits (8)
URL
Kimlik Bilgileri
Tren/Uçak biletleri
İlaçlar
Mezar taşı??
QR (Kare) kod nedir?

4. HİZMETE ÖZEL TASNİF DIŞI
4/13
• Farklı bir kişiye yada firmaya ait gibi
gösterilerek insanları manipüle etme
yöntemidir.
QRishing saldırısı nedir?

5. HİZMETE ÖZEL TASNİF DIŞI
5/13
• Ön tanımlı (default) olan Android tarayıcısı
zafiyetinden yararlanılması
• Phishing (oltalama) sitesine yönlendirme – email ve
parola istenmesi –
• Google Play’de bulunan çoğu QR tarayıcılarında
bulunan eksiklik yüzünden kullanıcının akıllı
telefonuna kullanıcının izni olmadan
program(malware) yükleme
QRishing saldırı senaryoları nelerdir?

6. HİZMETE ÖZEL TASNİF DIŞI
6/13
• Android tabanlı akıllı telefonlar için geliştirilecek
uygulama
Norton Snap (Symantec Corporation)
McAfee Innovations (McAfee Intel Security)
Kaspersky QR Scanner (Kaspersky Lаb)
• Açık anahtar altyapısına (PKI) uygun şekilde QR
kodlar üzerinde modifikasyon
Güvenli QR kod kullanımı nasıl sağlanabilir?

7. HİZMETE ÖZEL TASNİF DIŞI
7/13
Güvenli(?) Qr kod tarayıcıları

8. HİZMETE ÖZEL TASNİF DIŞI
8/13
• Sunucu Sorgulaması
• Gömülü(Ön) Tarayıcı
• Sandbox
Güvenli kod tarayıcısı tasarımı

9. HİZMETE ÖZEL TASNİF DIŞI
9/13
• Erişilmek istenen URL veya indirilmek istenilen uygulama hakkında veritabanında
araştırma yapılması
• Geçici white listte sorgulanması
• Black listte sorgulanması
Sunucu sorgusu

10. HİZMETE ÖZEL TASNİF DIŞI
10/13
• Erişilmek istenilen URL’den alınacak HTML kodları üzerinden statik bir tarama yapılması
• <form> tag’i ve <post> methodlarının varlığı
• Erişilmek istenilen sitenin sertifikası sorgulanması
Ön Tarayıcı

11. HİZMETE ÖZEL TASNİF DIŞI
11/13
• Statik analiz
Uygulamanın özeti (hash)
Uygulamanın içindeki «String»
• Dinamik analiz
Network trafiğinin dinlenmesi
Hassas bilgi çekme
Hakkını yükselme işlemi
Zaman bazlı uygulamanın çalışması
Sandbox

12. HİZMETE ÖZEL TASNİF DIŞI
12/13
• Açık anahtar altyapısına (PKI)
uygun şekilde QR kodlar üzerinde
modifikasyon
• QR kodlara güvenirlik özelliği
kazandırmak amacıyla sertifika
yöneticileri(Certificate
Authorities(CA)) tarafından
onaylı/imzalı X.509 sertifikaları
kullanılması
Güvenli QR kod oluşturulması

13. HİZMETE ÖZEL TASNİF DIŞI
13/13
Güvenli QR kod okunması/doğrulanması

14. HİZMETE ÖZEL TASNİF DIŞI
14/13
Sorular?

15. HİZMETE ÖZEL
İLETİŞİM BİLGİLERİ
 Mail: haslanoglu@stm.com.tr
 Twitter: @hsynaslanoglu