Coğrafi konum, bir zamanlar şirketinizin kiminle uğraştığını (ve bazen ne yaptıklarını) bilmenin muhteşem bir yoluydu. Sonra VPN’ler bunu baltalamaya başladı. Ve şimdi, işler o kadar kötüye gitti ki, Apple App Store ve Google Play, konumları yanıltabileceklerini utanmadan açıklayan uygulamalar sunuyor ve mobil işletim sistemi satıcılarından hiçbiri bunu durdurmak için hiçbir şey yapmıyor.
Neden? Niye? Görünüşe göre bu geliştiricilerin kullandığı delikleri hem Apple hem de Google oluşturdu.
Özetle, Apple ve Google – uygulamalarını çeşitli coğrafyalarda test etmek için – sistemi, geliştiricilerinin söylemek istedikleri her yerde olduklarını düşünerek sistemi kandırabilmeleri gerekiyordu. Dedikleri gibi, mobil kaz için iyi olan şey.
Yemek dağıtım hizmetleri, teslimat yapan kişileri takip etmek ve gerçekten bir müşterinin adresine teslimat yapıp yapmadıklarını görmek için coğrafi konumu kullanır. Bankalar, banka hesabı başvuru sahibinin gerçekten başvuru sahibinin iddia ettiği yerde olup olmadığını veya aynı bölgeden birden fazla sahte başvuru gelip gelmediğini görmek için konumu kullanır. Mobil konum güvenliği firması Incognia’nın CEO’su André Ferraz’a göre AirBNB, sahte listelemeleri ve sahte incelemeleri tespit etmek için coğrafi konumu kullanıyor.
Ferraz, “Dolandırıcılar için, GPS koordinatlarını değiştirmek için geliştirici modundan yararlanmanın yanı sıra, diğer birçok araç, hem IP tabanlı coğrafi konum hem de GPS tabanlı konum belirleme için konum sahtekarlığına olanak tanır,” dedi. “IP tabanlı coğrafi konum için VPN’ler, proxy’ler, tor’lar var. , tünel açma. GPS için en erişilebilir olanı sahte GPS uygulamalarıdır. Yine de, kurcalama ve enstrümantasyon araçları, köklü veya hapse atılmış cihazlar, öykünücüler, hareket halindeki konum verileriyle kurcalama ve daha birçokları var.”
Ferraz ne yazık ki haklı. Bir dolandırıcı bu seçeneklerden hangisini kullanmayı seçerse seçsin, sonuç olarak BT’nin artık çoğu şey için coğrafi konum belirlemeye güvenemeyeceğidir. Konum sahtekarlığından kaynaklanan anlamlı hasar riskinin o kadar düşük olduğu bazı uygulamalar vardır ki, konumu kullanmanın muhtemelen iyi olduğu uygulamalar vardır – örneğin, birinin Central Park’ta olmadığı halde oradaymış gibi davrandığı bir oyun uygulaması. Aldıkları tek şey puan veya özel bir görsel şölene erişim ise, muhtemelen zararsızdır.
Güven, burada anahtar kelimedir. İşletmenizin konum verilerine güvenmesi gerekiyorsa, bir alternatif gerekir.
Bu konum sahtekarlığı tespit edilebilir mi? Zor oluyor. Bazı hileli yöntemler tespit edilebilir, ancak hepsi değil – ve kesinlikle her zaman değil. Daha da önemlisi, yalnızca bir coğrafi konum anomalisini tespit etmek, kendi başına dolandırıcılığı olumlu olarak belirlememelidir.
VPN harika bir örnek. Birçok kullanıcı internette VPN modunda gezinmeye o kadar alıştı ki, bunu her zaman yapıyorlar. Bu, örneğin bir banka hesabı açmaya çalıştıklarında bunu düşünmeyebilecekleri anlamına gelir. Dolandırıcılık varsaymak ve erişimi engellemek ve uygulamayı reddetmek yerine, bankalar basit bir açılır uyarı sunabilir: “Görünüşe göre bir VPN kullanıyorsunuz. Güvenlik ve gizlilik amacınızı takdir etmemize rağmen, VPN gibi görünen şey konum tespitimizi engelliyor. Lütfen VPN’inizi kapatın, tarayıcınızı kapatın, tarayıcınızı yeniden başlatın ve geri gelin.”
Sahtekarlık tespiti ile ilgili sorun, bazı şirketlerin aşırı tepki vermesi ve kasıtlı dolandırıcılık üstlenmesidir. O kadar basit değil.
Ferraz, dünya genelindeki konumları gerçekten taklit etmeleri gerektiğinden, ne Google’ı ne de Apple’ı suçlamamayı seçiyor.
“Geliştiricilerin uygulamalarını başka bir yerdeymiş gibi test etmelerini sağlayan bu özellik, OS sağlayıcıları, Android ve iOS tarafından bilerek oluşturuldu. Bu nedenle, işletim sisteminden kaynaklanan bir güvenlik açığı değildir. Aksi takdirde, geliştiriciler, örneğin, Uygulamanın test amacıyla bazı konum tabanlı hizmetler sunduğu yerlere şahsen gitmeleri gerekeceğinden, uzaktan çalışamazlardı, ”dedi Ferraz. “İşletim sistemi, geliştiricilerin cihazın geliştirici modunda olup olmadığını belirlemeleri için API’ler bile sağlıyor ve GPS koordinatlarını değiştirmelerini sağlayan aracı etkinleştirdi. Ne yazık ki birçok geliştirici, konum sahtekarlığını belirlemek için bu ve diğer cihaz sinyallerini kullanmaz.”
Ferraz, yemek dağıtım hizmetini, bazı şirketlerin konum izlemeyi nasıl kullanmaya çalıştığının klasik bir örneği olarak gösteriyor – ancak yanabilir. Dolandırıcıların yemek dağıtım hizmetlerini soymaya çalışmasının birçok yolu vardır; bazıları bir teslimatı kabul edecek ve hiçbir yere gitmeyecek. Bunun yerine, yemek dağıtım sistemini, siparişi aldıklarını ve ardından teslim ettiklerini düşünmeleri için kandırıyorlar.
Bu hizmetlerden bazılarının sorunu, sistem yemeğin teslim edildiğini düşündüğünde anında ödeme yapmalarıdır. Diyelim ki bir saat kadar beklemeyi seçerlerse dolandırıcılıktan kurtulabilirler. Bu saat, müşterinin telefon edip yemeğin hiç teslim edilmediğinden şikayet etmesi için bolca zaman bırakır. (Bazen yemek dağıtım şirketi, coğrafi konum takibine bakarak yemeğin teslim edilip edilmediğini “doğrular”. Hata! Teslim edemiyorlar ve bir müşteriye yalancı diyebilir.)
Bazen yemek dağıtım sahtekarlığı parayla ilgili değildir – yemeğin kendisiyle ilgilidir. Ferraz, bazı sürücülerin siparişi gerçekten alacaklarını ve kendilerinin yiyeceklerini söyledi – bu arada uygulamayı, sürücünün müşteriye teslim ettiğini “görmesi” için kandırdı.
Bu, BT’nin konu hakkında ne yapması gerektiği sorusunu gündeme getiriyor. “Coğrafi konumu kullanma” ile “kullanma” arasında büyük bir fark vardır. güven coğrafi konum.” Bir gazetecinin güvenilmez bir kaynakla uğraşmasına benzer; mecbur değilsin aldırmamak ne diyorlar, ama her şeyi üç kez doğruluyorsun.
Örneğin, siber güvenlik kimlik doğrulamasını alın. Her şeyi düzgün yapıyorsanız – özellikle sıfır güven ortamında – muhtemelen düzinelerce veya daha fazla veri noktasına güveniyorsunuzdur. Bu senaryoda, coğrafi konum verilerini kullanmak sorun değil. Sonuçta, bu verilerin çoğu muhtemelen iyi. Banka örneğinde olduğu gibi, birini yalnızca eşleşmeyen bir konuma göre reddetmeyin. Ancak, başka soruları tetiklemek için herhangi bir uyumsuzluğu kullanmak tamamen uygundur.
Farklı süreçlere sahip olmamanız için hiçbir neden yok; bazı durumlarda, konum belirleme doğruluğuna güvenilir; diğerlerinde ise sadece tamamlayıcıdır; yine de diğerlerinde, o kadar önemli değil (muhtemelen oyun). Kısacası, coğrafi konumu kullanın ancak artık ona güvenmeyi düşünmeyin.
Telif Hakkı © 2022 IDG Communications, Inc.