1. Anasayfa
  3. Teknoloji
  5. Taşınabilir uygulamalar, sandığınızdan çok daha riskli olabilir
Teknoloji

Taşınabilir uygulamalar, sandığınızdan çok daha riskli olabilir

admin admin -

- 6 dk okuma süresi
4 0

Akıllı telefonlar günlük hayatın vazgeçilmez bir kesimi haline geldikçe, taşınabilir uygulamalar da kullanıcı tecrübesinin merkezine yerleşti. Lakin yeni bir araştırma, bu uygulamaların düşündüğümüz kadar inançlı olmayabileceğini ortaya koyuyor. Bilhassa API (Uygulama Programlama Arayüzü) üzerinden gerçekleşen akınlar, taşınabilir dünyada önemli bir tehdit haline gelmiş durumda.

Mobil güvenlik firması Zimperium’un gerçekleştirdiği tahlil, hem Android hem de iOS uygulamalarının önemli açıklar barındırdığını gösteriyor. Rapora nazaran Android uygulamalarının üçte biri, iOS uygulamalarının ise yarısından fazlası, hassas kullanıcı bilgilerini sızdırabilecek yapıda. Üstelik bu açıklar, saldırganların yalnızca bilgilere değil, iş açısından kritik sistemlere de ulaşmasına imkan tanıyor.

Araştırma sırf uygulama seviyesindeki açıklara değil, aygıtlara bulaşan makûs emelli yazılımlara da dikkat çekiyor. Her 1.000 taşınabilir aygıttan üçü hali hazırda ziyanlı yazılımlarla enfekte durumda. Android aygıtların yaklaşık yüzde 20’si bu çeşit yazılımlarla karşılaşmış. Bu oranlar, sırf kullanıcılar için değil, kurumlar açısından da önemli güvenlik riskleri manasına geliyor.

Web uygulamalarının bilakis taşınabilir uygulamalar, birden fazla vakit kullanıcıya ilişkin ve inançlı olmayan aygıtlar üzerinde çalışıyor. Bu durum, API uç noktalarının ve art uç sistemlerle olan bağlantının makûs niyetli bireyler tarafından manipüle edilmesini kolaylaştırıyor. Saldırganlar uygulamaların bilgi trafiğine müdahale edebiliyor, kodları bilakis mühendislikle inceleyip uydurma API davetlerini güya uygulamanın kendisinden geliyormuş üzere gösterebiliyor. Klâsik güvenlik tahlilleri, örneğin güvenlik duvarları, API anahtarları ya da ağ geçitleri, bu cins taarruzları tam olarak engellemekte yetersiz kalabiliyor.

Saldırıların yeni yüzü: İstemci tarafı müdahaleleri

Siber taarruzların değerli bir kısmı artık istemci tarafında gerçekleşiyor. Yani saldırganlar, art uç sistemlere ulaşmadan evvel API davetlerini direkt kullanıcı aygıtı üzerinden ele geçirip değiştiriyor. Bu çeşit taarruzlar çoklukla “ortadaki adam” (man-in-the-middle) olarak isimlendirilen tekniklerle yapılıyor. SSL pinning üzere güvenlik prosedürleri bu çeşit taarruzları engellemek için kullanılsa da, bilhassa Android ve iOS uygulamalarının kıymetli bir kısmı hala bu ataklara karşı savunmasız.

Finans ve seyahat üzere hassas bilgi barındıran dallara ilişkin uygulamalarda dahi bu açıklar mevcut. Örneğin Android’deki finans uygulamalarının üçte biri, iOS’taki seyahat uygulamalarının ise yaklaşık beşte biri bu tıp müdahalelere karşı gereğince müdafaa sunmuyor.

Zimperium’un tespitlerine nazaran birçok taşınabilir uygulama, kullanıcı datalarını saklama konusunda önemli yanlışlar yapıyor. En sık karşılaşılan problemler ortasında kişisel bilgilerin konsol kayıtlarına yazılması, bilgilerin şifrelenmeden harici depolamada tutulması ve inançsız lokal dosyalama yolları yer alıyor.

Araştırma, en tanınan 100 Android uygulamasının yüzde 6’sının kullanıcı bilgilerini geliştirici konsoluna yazdığını, yüzde 4’ünün ise dışarıdan erişilebilecek depolama alanlarına kaydettiğini ortaya koydu. Mahallî depolama alanı öbür uygulamalarla paylaşılmasa bile, aygıt fizikî olarak ele geçirildiğinde bu datalar de tehlikeye girebiliyor.

Veriler dışa aktarılıyor

Görünürde zararsız üzere duran birtakım uygulamalar, art planda kullanıcıların etkileşimlerini kaydedebilen ya da GPS pozisyon bilgilerini toplayarak uzak sunuculara aktarabilen yazılımlar içeriyor. Bu tıp SDK’lar (Yazılım Geliştirme Kitleri), hem kullanıcı kapalılığını ihlal ediyor hem de şirketler için önemli güvenlik riskleri yaratıyor. Üstelik bu yazılımlar, resmi uygulama mağazalarında yayınlanan tanınan uygulamalarda bile bulunabiliyor.

Zimperium’un raporu, kullanıcıların ve bilhassa işletmelerin alması gereken tedbirleri de sıralıyor. İşte öne çıkan kimi adımlar:

  • Uygulamaların şahsî bilgileri nerede ve nasıl sakladığı dikkatle incelenmeli.
  • Yerel bilgiler şifreli tutulmalı ve öbür uygulamalar tarafından erişilememeli.
  • Ağ trafiği izlenmeli; dataların şifrelenmeden gönderilip gönderilmediği denetim edilmeli.
  • Üçüncü taraf SDK’lar denetlenmeli, potansiyel olarak tehlikeli bileşenler ayıklanmalı.
  • Uygulama müsaadeleri, sadece gerekli olan süreçlerle sonlandırılmalı.
  • Uygulama davranışları sistemli olarak gözden geçirilmeli.
  • Kod gizleme, çalışma vakti güvenliği ve bilakis mühendislik müdafaası üzere teknik tedbirler alınmalı.
  • API davetlerinin sadece orjinal ve inançlı uygulamalardan geldiği doğrulanmalı.
  • Olası bir ihlal durumunda uygulanacak acil müdahale planları evvelden hazırlanmalı.
Kaynak : Chip
Etiketler

İlgili Yazılar

Teknoloji

Gözden kaçan tehlike: Dünya’ya yaklaşan ve görünmeyen asteroitler

admin
Teknoloji

Çin, Arktik buzlarının altına mürettebatlı birinci dalışını gerçekleştirdi

admin
Teknoloji

iPhone 17 Pro çiziklerine karşı sıra dışı teklif: Tuzlu su!

admin

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir