Çoban Land

Giriş Yap
Kayıt Ol

Taşınabilir uygulamalar, sandığınızdan çok daha riskli olabilir

Akıllı telefonlar günlük hayatın vazgeçilmez bir modülü haline geldikçe, taşınabilir uygulamalar da kullanıcı tecrübesinin merkezine yerleşti. Fakat yeni bir araştırma, bu uygulamaların düşündüğümüz kadar inançlı olmayabileceğini ortaya koyuyor. Bilhassa API (Uygulama Programlama Arayüzü) üzerinden gerçekleşen taarruzlar, taşınabilir dünyada önemli bir tehdit haline gelmiş durumda.

Mobil güvenlik firması Zimperium’un gerçekleştirdiği tahlil, hem Android hem de iOS uygulamalarının önemli açıklar barındırdığını gösteriyor. Rapora nazaran Android uygulamalarının üçte biri, iOS uygulamalarının ise yarısından fazlası, hassas kullanıcı bilgilerini sızdırabilecek yapıda. Üstelik bu açıklar, saldırganların yalnızca bilgilere değil, iş açısından kritik sistemlere de ulaşmasına imkan tanıyor.

Araştırma sadece uygulama seviyesindeki açıklara değil, aygıtlara bulaşan berbat hedefli yazılımlara da dikkat çekiyor. Her 1.000 taşınabilir aygıttan üçü hali hazırda ziyanlı yazılımlarla enfekte durumda. Android aygıtların yaklaşık yüzde 20’si bu tıp yazılımlarla karşılaşmış. Bu oranlar, sırf kullanıcılar için değil, kurumlar açısından da önemli güvenlik riskleri manasına geliyor.

Web uygulamalarının bilakis taşınabilir uygulamalar, birçok vakit kullanıcıya ilişkin ve inançlı olmayan aygıtlar üzerinde çalışıyor. Bu durum, API uç noktalarının ve art uç sistemlerle olan bağlantının makûs niyetli şahıslar tarafından manipüle edilmesini kolaylaştırıyor. Saldırganlar uygulamaların data trafiğine müdahale edebiliyor, kodları aksine mühendislikle inceleyip düzmece API davetlerini güya uygulamanın kendisinden geliyormuş üzere gösterebiliyor. Klasik güvenlik tahlilleri, örneğin güvenlik duvarları, API anahtarları ya da ağ geçitleri, bu cins hücumları tam olarak engellemekte yetersiz kalabiliyor.

Saldırıların yeni yüzü: İstemci tarafı müdahaleleri

Siber taarruzların kıymetli bir kısmı artık istemci tarafında gerçekleşiyor. Yani saldırganlar, art uç sistemlere ulaşmadan evvel API davetlerini direkt kullanıcı aygıtı üzerinden ele geçirip değiştiriyor. Bu tıp hücumlar çoklukla “ortadaki adam” (man-in-the-middle) olarak isimlendirilen tekniklerle yapılıyor. SSL pinning üzere güvenlik metotları bu tıp hücumları engellemek için kullanılsa da, bilhassa Android ve iOS uygulamalarının kıymetli bir kısmı hala bu taarruzlara karşı savunmasız.

Finans ve seyahat üzere hassas data barındıran kesimlere ilişkin uygulamalarda dahi bu açıklar mevcut. Örneğin Android’deki finans uygulamalarının üçte biri, iOS’taki seyahat uygulamalarının ise yaklaşık beşte biri bu tıp müdahalelere karşı gereğince müdafaa sunmuyor.

Zimperium’un tespitlerine nazaran birçok taşınabilir uygulama, kullanıcı datalarını saklama konusunda önemli yanılgılar yapıyor. En sık karşılaşılan sıkıntılar ortasında kişisel bilgilerin konsol kayıtlarına yazılması, bilgilerin şifrelenmeden harici depolamada tutulması ve inançsız lokal dosyalama teknikleri yer alıyor.

Araştırma, en tanınan 100 Android uygulamasının yüzde 6’sının kullanıcı bilgilerini geliştirici konsoluna yazdığını, yüzde 4’ünün ise dışarıdan erişilebilecek depolama alanlarına kaydettiğini ortaya koydu. Lokal depolama alanı diğer uygulamalarla paylaşılmasa bile, aygıt fizikî olarak ele geçirildiğinde bu bilgiler de tehlikeye girebiliyor.

Veriler dışa aktarılıyor

Görünürde zararsız üzere duran birtakım uygulamalar, art planda kullanıcıların etkileşimlerini kaydedebilen ya da GPS pozisyon bilgilerini toplayarak uzak sunuculara aktarabilen yazılımlar içeriyor. Bu cins SDK’lar (Yazılım Geliştirme Kitleri), hem kullanıcı kapalılığını ihlal ediyor hem de şirketler için önemli güvenlik riskleri yaratıyor. Üstelik bu yazılımlar, resmi uygulama mağazalarında yayınlanan tanınan uygulamalarda bile bulunabiliyor.

Zimperium’un raporu, kullanıcıların ve bilhassa işletmelerin alması gereken tedbirleri de sıralıyor. İşte öne çıkan kimi adımlar:

  • Uygulamaların şahsî bilgileri nerede ve nasıl sakladığı dikkatle incelenmeli.
  • Yerel datalar şifreli tutulmalı ve diğer uygulamalar tarafından erişilememeli.
  • Ağ trafiği izlenmeli; dataların şifrelenmeden gönderilip gönderilmediği denetim edilmeli.
  • Üçüncü taraf SDK’lar denetlenmeli, potansiyel olarak tehlikeli bileşenler ayıklanmalı.
  • Uygulama müsaadeleri, sadece gerekli olan süreçlerle sonlandırılmalı.
  • Uygulama davranışları sistemli olarak gözden geçirilmeli.
  • Kod gizleme, çalışma vakti güvenliği ve aksine mühendislik muhafazası üzere teknik tedbirler alınmalı.
  • API davetlerinin sırf özgün ve inançlı uygulamalardan geldiği doğrulanmalı.
  • Olası bir ihlal durumunda uygulanacak acil müdahale planları evvelden hazırlanmalı.

Chip

Facebook
Twitter
LinkedIn
Telegram
WhatsApp
Email
Picture of Hakan Çevik
Hakan Çevik
https://youtube.com/@hakancevik
Profile Git

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Son Haberler

Okumaya devam et

Benzer Haberler

Daha Fazla