Kerim YILDIRIM, Gökhan DALKILIÇ, Nevcihan DURU

Hsiang m-kupon protokolünün güvenlik analizi

Günümüzde mobil cihazlar üzerlerinde barındırdıkları teknolojiler sayesinde günlük hayatın her alanına girmiştir. Bu uygulamalara örnek olarak yeni bir alan olan ve mobil cihazlarda kullanılan m-kupon uygulaması verilebilir. Mobil kupon kullanımının yaygınlaştırılabilmesi için gerekli olan hususlardan birisi, kullanıcı güvenliğinin sağlanmasıdır. M-kuponun elde edilmesi/kullanılması aşamasındaki güvenlik, sadece bilinen şifreleme algoritmaları kullanılarak sağlanamaz. Şifreleme algoritmaları protokolün olmazsa olmaz bir unsuru olmasına rağmen sadece şifreleme algoritmaları kullanılarak güvenlik garanti altına alınamaz. Bunlara ek olarak sürecin önemli bir parçası olan protokolün de güvenlik analizinin yapılması gerekmektedir. Bu kapsamda bu çalışmada, firmaların özel müşterilerine sağladığı özel indirimlerin müşterilere ulaştırılabilmesi için kullanılan m-kupon protokollerinden, Hsiang tarafından geliştirilen NFC tabanlı protokolün güvenlik analizi, oyun kuramı ve otomatik güvenlik protokolü doğrulama aracı Scyther kullanılarak yapılmıştır. Protokolün doğal elemanları olan kupon sağlayıcı, müşteri ve kasiyer için birer oyuncu ve saldırgan için ayrı bir oyuncu olmak üzere oyun kuramı için dört oyuncu belirlenmiştir. Bu amaçla senaryolar oluşturulmuş ve senaryoların simülasyonu yapılmıştır. Simülasyonda saldırganın, iletişimi dinleyerek elde ettiği paketleri çözüp çözemediği, sistemi manipüle edip edemediği incelenmiştir. İnceleme sonucunda, kuponun oluşturulması aşamasında, güvenlik zafiyeti olduğu, bu açık kullanılarak saldırılar yapılabildiği hem simülasyon ile hem de güvenlik protokollerinin doğrulanması amacıyla kullanılan Scyther aracı ile tespit edilmiş ve tespit edilen açıklar için çözüm önerileri sunulmuştur.

Anahtar Kelimeler:

NFC, m-kupon, güvenlik analizi, gizlice dinleme, Scyther

PDF

___

1. Goggin G. Cell phone culture: Mobile technology in everyday life, Routledge, New York, A.B.D., 2012.
2. Krishna S., Boren S.A., Balas E.A., Healthcare via cell phones: a systematic review, Telemedicine and e-Health, 15 (3), 231-240, 2009.
3. Gregoski M.J., Mueller M., Vertegel A., Shaporev A., Jackson B.B., Frenzel R.M., Treiber F.A., Development and validation of a smartphone heart rate acquisition application for health promotion and wellness telehealth applications, International Journal of Telemedicine and Applications, 2012 (1), 1-7, 2012.
4. Kwapisz J.R., Weiss G.M., Moore S.A., Activity recognition using cell phone accelerometers, ACM SigKDD Explorations Newsletter, 12 (2), 74-82, 2011.
5. Yıldırım K., Uçar G., Keskin T., Kavak A., Fall detection using smartphone-based application. International Journal of Applied Mathematics, Electronics and Computers, 4(4), 140-144, 2016.
6. Commission I.O. (n.d.). ISO/IEC 18092:2013: Information technology --Telecommunications and information exchange between systems -- Near Field Communication -- Interface and Protocol (NFCIP-1), 2013.
7. Bailey K., Plug in credit card reader module for wireless cellular phone verifications, Amerikan Patent Uygulaması No. 10/207,730.
8. Ooi K.B., Tan G.W.H., Mobile technology acceptance model: An investigation using mobile users to explore smartphone credit card, Expert Systems with Applications, 59, 33-46, 2016.
9. Schäfer G., Kreisel A., Rummler D., Stopka U. Development of a concept for evaluation user acceptance and requirements for NFC based e-ticketing in public transport. 19th International Conference on Human-Computer Interaction. Springer, Cham. Vancouver, Kanada, 522-533, 9-14 Temmuz, 2017.
10. Finžgar L., Trebar M., Use of NFC and QR code identification in an electronic ticket system for public transport, 19th International Conference on Software, Telecommunications and Computer Networks - (SoftCOM 2011), Adriatic Islands Split, Hırvatistan, 1-5, 15-17 Eylül, 2011.