Sosyal medya siteleri üzerinde geçen günlerde ilginç bir açık keşfedildi. SMS komutları üzerinden Twitter ya da Facebook kullananların hesapları üzerinde SMS spoofing yöntemi ile izinsiz komut çalıştırmak mümkün olabiliyor.
Sosyal medya siteleri (Twitter ve Facebook) üzerinde SMS komut yollama ile ileti gönderme, birini takip etme gibi işlemler gerçekleştirilebiliyor. Ancak SMS üzerinden gelen bu istekler geçen günlerde yayınlanan yamalara kadar SMS spoofing yöntemine karşı zafiyet gösteriyordu. Şimdilik açık kapatılmış gibi görünüyor.
Bu açığın kullanımı için toplamanız gereken bilgiler de son derece kolay sadece Twitter hesabına tanımlı olan telefon numarasını bildiğiniz bir kişinin hesabından sanki o yazmış gibi SMS komutları üzerinden tweet atabilir, onun birisini takip etmesini sağlayabilirsiniz.
Nedir bu SMS spoofing diye sorarsanız SMS spoofing kaynak numaranın yani gönderen numaranın istenilen bir numaraymış gibi davranmasını sağlayarak SMS göndermek olarak tanımlayabiliriz. SMS spoofing için internet üzerinde hazırlanmış SMS gönderme formları ya da özel olarak hazırlanmış araçlar kullanılabilir.
SMS spoofing’ in önüne geçmek için telefon numaranızın internet üzerinde yayılmasına engel olmanız ve operatörünüz ile görüşerek internet üzerinden SMS gönderilmesi opsiyonunu kapattırabilirsiniz. Bu önlemler tamamen bir çözüm olmayabilir ancak en azından saldırı yüzeyini azaltmış olursunuz.
Peki, böyle bir açık ile Twitter üzerinde neler yapmak mümkündür diye merak edenler için kullanılabilen SMS komutları aşağıdaki gibidir.
• @[kullanıcıadı] + mesaj – yazdığınız tweeti başka bir kullanıcıya yanıt olarak gönderir ve bu tweet o kişinin bahsedenler sekmesinde görüntülenir.
• DM [kullanıcıadı] + mesaj – bu kullanıcıya bir Direkt Mesaj gönderir ve mesaj internet arşivinde saklanır
• RT [kullanıcıadı] – bu kullanıcının en son tweetini sizin takipçilerinize iletir. (Retweet olarak da bilinir).
• AYARLA KONUM [yer adı] – profilinizdeki konum bölümünü günceller.
• AYARLA BİLGİLER – Twitter profilinizde yer alan kişisel bilgilerinizi günceller.
• AYARLA DİL [dil adı] – bildirimleri hangi dilde almak istediğinizi belirler.
• AYARLA İSİM [ismi buraya yaz] – Twitter profilinizde yer alan adı-soyadı bölümünü günceller.
• AYARLA URL [internet adresini buraya yaz] – profilinizde yer alan URL (internet sitesi adresi) bölümünü günceller.
• KİM [kullanıcıadı] – Twitter profili herkese açık olan bir kullanıcının bilgilerini verir.
• AL [kullanıcıadı] – bu kullanıcının en son Twitter güncellemesini verir.
• FAV [kullanıcıadı] – bu kullanıcının en son tweetini favorilerinize ekler (eğer gerçek zamanlı olarak alıyorsanız, bir güncellemeyi FAV komutuyla yanıtlayarak favorilerinize ekleyin).
• İSTATİSTİK [kullanıcıadı] – bu komut kullanıcının takipçi sayısını, kaç kişiyi takip ettiğini ve kişisel bilgilerini verir.
• YARDIM – yardım yazıp Twitter’a göndererek kullanışlı ipuçları alabilirsiniz.
• ÖNER – bu komut takip etmekten hoşlanabileceğinizi düşündüğümüz Twitter hesaplarının listesini verir.
Gördüğünüz gibi hesap üzerinde her şeyi yapmayı mümkün kılabilen bir açık ile karşı karşıyaydık ancak şimdilik hackerlar yeni bir yöntem bulana kadar yeni güncellemeler ile kapatılmış gibi duruyor.
Sosyal medya sitelerinin hayatımızda ki artan değerini de düşünürsek önümüze kolaylık yaratması için getirilen her yeni özelliğin farklı birer güvenlik açığını da beraberinde getirdiğini unutmayalım.
Erdem KAYAR