Forbes’un özel bir raporuna göre Google, Gmail kullanıcılarını doğrulamak için kullanılan kısa mesaj kodlarını aşamalı olarak kaldırmaya hazırlanıyor. Şirket, geleneksel SMS tabanlı kimlik doğrulamaya bağlı güvenlik riskleri konusundaki endişeleri gerekçe göstererek QR kod sistemine geçiş planlarını doğruladı.
Siber güvenlik uzmanı Davey Winder, Forbes için kaleme aldığı makalede, Google iç kaynaklarıyla konuştuktan sonra planın detaylarını açıkladı. Winder, Şubat 2025 tarihli makalesinde, SMS doğrulamalarının uzun zamandır bilgisayar korsanlığına, kimlik avına ve dolandırıcılığa karşı savunmasız olduğu yönünde eleştirildiğini belirtti. Metin tabanlı kodlar hala yaygın olarak kullanılsa da, Google gibi teknoloji şirketleri biyometrik geçiş anahtarları veya uygulama tarafından oluşturulan kodlar gibi alternatifleri giderek daha fazla destekliyor. Şimdi Gmail, “yaygın, küresel SMS kötüye kullanımını” ele almak için QR kodlarına doğru bir adım atıyor. Google sözcüsü Ross Richendrfer, Winder ile yaptığı bir e-posta yazışmasında, SMS kodlarının birçok risk taşıdığını açıkladı. Suçlular, bunları kimlik avı saldırıları yoluyla veya telefon operatörlerinin güvenlik sistemlerindeki zayıflıkları kullanarak ele geçirebilirler. Örneğin, dolandırıcılar bazen operatörleri kurbanın telefon numarasını kontrol ettikleri bir cihaza aktarmaya kandırarak doğrulama kodlarını çalabiliyorlar. Richendrfer, “Bir dolandırıcı birinin telefon numarasını kolayca ele geçirebilirse, SMS’in güvenlik değeri ortadan kalkar” dedi.
Başka bir sorun ise, suçluların şirketleri sahip oldukları numaralara büyük miktarda SMS mesajı göndermeye manipüle ettiği ve her mesaj teslim edildiğinde para kazandığı “trafik pompalaması” gibi dolandırıcılıkları içeriyor. Google’ın güvenlik ekibi, analist Kimberly Samra dahil, bu şemanın son yıllarda arttığını ve hem işletmelere hem de kullanıcılara zarar verdiğini belirtti.
Google bu tehditlerle mücadele etmek için SMS kodlarını QR tabanlı kimlik doğrulamayla değiştirmeyi planlıyor. Kullanıcılar, altı haneli bir kod yazmak yerine, telefonlarının kamerasını kullanarak ekranlarında görüntülenen bir QR kodu tarayacaklar. Şirket, bu yöntemin kimlik avı risklerini azalttığını, çünkü çalınacak bir kod olmadığını iddia ediyor. Ayrıca, genellikle güçlü dolandırıcılıkla mücadele önlemlerinden yoksun olan telefon operatörlerine olan bağımlılığı da azaltıyor.
QR kodlar eleştiriden muaf olmasa da – bazı güvenlik uzmanları bunların taklit edilebileceğini veya manipüle edilebileceğini savunuyor – Google, bu geçişin “saldırganlar için saldırı yüzeyini küçülteceğini” iddia ediyor. Geçişin önümüzdeki birkaç ay içinde aşamalı olarak kullanıma sunulması bekleniyor, ancak henüz belirli bir zaman çizelgesi paylaşılmadı.
Bu değişiklik, Google’ın eski güvenlik uygulamalarını aşamalı olarak kaldırma yönündeki devam eden çabalarını yansıtıyor. Geçen yıl şirket, parolanın yerine geçecek geçiş anahtarlarını destekleyerek parmak izi veya yüz tanıma yoluyla biyometrik oturum açmayı teşvik etti. Şimdi Google, SMS’ten uzaklaşarak daha güvenli, daha basit kimlik doğrulama için yeni bir standart belirlemeyi hedefliyor. Richendrfer’in deyişiyle, “Kullanıcıları kötü amaçlı faaliyetlerden daha güvende tutmak istiyoruz.” Dolandırıcılar, Gmail kullanıcılarını hedef almak için yapay zeka dahil olmak üzere daha gelişmiş yöntemler benimsedikçe, bu doğru yönde atılmış bir adım.
