Hsiang m-kupon protokolünün güvenlik analizi
Günümüzde
mobil cihazlar üzerlerinde barındırdıkları teknolojiler sayesinde günlük
hayatın her alanına girmiştir. Bu uygulamalara örnek olarak yeni bir alan olan
ve mobil cihazlarda kullanılan m-kupon uygulaması verilebilir. Mobil kupon
kullanımının yaygınlaştırılabilmesi için gerekli olan hususlardan birisi,
kullanıcı güvenliğinin sağlanmasıdır. M-kuponun elde edilmesi/kullanılması
aşamasındaki güvenlik, sadece bilinen şifreleme algoritmaları kullanılarak
sağlanamaz. Şifreleme algoritmaları protokolün olmazsa olmaz bir unsuru
olmasına rağmen sadece şifreleme algoritmaları kullanılarak güvenlik garanti
altına alınamaz. Bunlara ek olarak sürecin önemli bir parçası olan protokolün
de güvenlik analizinin yapılması gerekmektedir. Bu kapsamda bu çalışmada, firmaların
özel müşterilerine sağladığı özel indirimlerin müşterilere ulaştırılabilmesi
için kullanılan m-kupon protokollerinden, Hsiang tarafından geliştirilen NFC
tabanlı protokolün güvenlik analizi, oyun kuramı ve otomatik güvenlik protokolü
doğrulama aracı Scyther kullanılarak yapılmıştır. Protokolün doğal elemanları
olan kupon sağlayıcı, müşteri ve kasiyer için birer oyuncu ve saldırgan için
ayrı bir oyuncu olmak üzere oyun kuramı için dört oyuncu belirlenmiştir. Bu
amaçla senaryolar oluşturulmuş ve senaryoların simülasyonu yapılmıştır.
Simülasyonda saldırganın, iletişimi dinleyerek elde ettiği paketleri çözüp
çözemediği, sistemi manipüle edip edemediği incelenmiştir. İnceleme sonucunda,
kuponun oluşturulması aşamasında, güvenlik zafiyeti olduğu, bu açık kullanılarak
saldırılar yapılabildiği hem simülasyon ile hem de güvenlik protokollerinin
doğrulanması amacıyla kullanılan Scyther aracı ile tespit edilmiş ve tespit
edilen açıklar için çözüm önerileri sunulmuştur.
___
- 1. Goggin G. Cell phone culture: Mobile technology in everyday life, Routledge, New York, A.B.D., 2012.
- 2. Krishna S., Boren S.A., Balas E.A., Healthcare via cell phones: a systematic review, Telemedicine and e-Health, 15 (3), 231-240, 2009.
- 3. Gregoski M.J., Mueller M., Vertegel A., Shaporev A., Jackson B.B., Frenzel R.M., Treiber F.A., Development and validation of a smartphone heart rate acquisition application for health promotion and wellness telehealth applications, International Journal of Telemedicine and Applications, 2012 (1), 1-7, 2012.
- 4. Kwapisz J.R., Weiss G.M., Moore S.A., Activity recognition using cell phone accelerometers, ACM SigKDD Explorations Newsletter, 12 (2), 74-82, 2011.
- 5. Yıldırım K., Uçar G., Keskin T., Kavak A., Fall detection using smartphone-based application. International Journal of Applied Mathematics, Electronics and Computers, 4(4), 140-144, 2016.
- 6. Commission I.O. (n.d.). ISO/IEC 18092:2013: Information technology --Telecommunications and information exchange between systems -- Near Field Communication -- Interface and Protocol (NFCIP-1), 2013.
- 7. Bailey K., Plug in credit card reader module for wireless cellular phone verifications, Amerikan Patent Uygulaması No. 10/207,730.
- 8. Ooi K.B., Tan G.W.H., Mobile technology acceptance model: An investigation using mobile users to explore smartphone credit card, Expert Systems with Applications, 59, 33-46, 2016.
- 9. Schäfer G., Kreisel A., Rummler D., Stopka U. Development of a concept for evaluation user acceptance and requirements for NFC based e-ticketing in public transport. 19th International Conference on Human-Computer Interaction. Springer, Cham. Vancouver, Kanada, 522-533, 9-14 Temmuz, 2017.
- 10. Finžgar L., Trebar M., Use of NFC and QR code identification in an electronic ticket system for public transport, 19th International Conference on Software, Telecommunications and Computer Networks - (SoftCOM 2011), Adriatic Islands Split, Hırvatistan, 1-5, 15-17 Eylül, 2011.