Danny Weber
Google, Android 17’de kilit ekranı sınırlarını sıkılaştırıyor: uzun vadeli PIN denemeleri 1.800’den yalnızca 19’a düşüyor.
Android 17, suçluların veya özel araçların otomatik olarak farklı PIN kodlarını denediği brute-force saldırılarına karşı akıllı telefon korumasını ciddi biçimde güçlendiriyor. Bu senaryo yalnızca cihaz hırsızlığı sonrası suçlularla sınırlı değil; bazı durumlarda kolluk kuvvetleri de el konulan telefonları açmak için benzer yöntemler kullanıyor. Artık deneme alanı çok daha dar.
Android 16 sisteminde ilk dakikada 10 PIN denemesine, ilk altı dakikada 20 denemeye, 25 dakikada 50 denemeye, bir günde 110 denemeye ve beş yılda 1.800 denemeye kadar izin veriliyordu. Brute-force araçları için asıl önemli olan uzun vadeli sınırdı: yeterli zaman olduğunda yaygın dört haneli kombinasyonların kayda değer bir bölümünü test edebiliyorlardı.
Android 17 ile sınırlar çok daha sert hale geliyor. İlk dakikada yalnızca altı deneme, altı dakikada yedi deneme, 25 dakikada sekiz deneme, bir günde 12 deneme ve beş yılda sadece 19 deneme mümkün. 20 hatalı girişten sonra akıllı telefon tamamen kilitleniyor. Otomatik deneme için bu, saldırı senaryosunu neredeyse bitiriyor: araç kısa sürede sınıra takılıyor ve devam edemiyor.
Dört haneli bir PIN bile 10.000 olası kombinasyon içeriyor, ancak yeni gecikmeler ve 20 hata sınırı brute force yöntemini pratikte işe yaramaz hale getiriyor. Google, normal kullanıcı hatalarını da daha dikkatli ele alıyor: Android 16 QPR2’den itibaren biri aynı yanlış PIN’i arka arkaya birkaç kez girerse sistem bunları ayrı denemeler olarak saymıyor. Kilit ekranında kalan deneme sayısı ve bekleme süresiyle ilgili mesajlar da daha anlaşılır hale geliyor.
Yine de yeni koruma temel güvenlik kurallarının yerini almıyor. 1234, 0000 veya doğum yılı gibi zayıf PIN’ler hâlâ ilk denemelerde tahmin edilebilir; yüz veya parmak iziyle zorla kilit açma ise ayrı bir risk olmayı sürdürüyor. Sonuç basit: Android 17’den sonra uzun ve tahmin edilmesi zor bir PIN daha da önemli.
© A. Krivonosov