Haberler
23 Android Uygulamasının 100 Milyon Kullanıcıya Ait Bilgileri Sızdırdığı Anlaşıldı!
Dev veri sızıntısının milyonlarca kez indirilen Android uygulamalarının bulut hizmetlerindeki sorunlu düzenlemelerden kaynaklandığı belirtildi.
Bulut hizmetlerindeki hatalı düzenlemeler nedeniyle 23 uygulamanın 100 milyon kullanıcıya ait kişisel bilgileri sızdırdığı ortaya çıktı. Bazı uygulamaların 10 milyon civarında indirildiği ve iç geliştirici kaynakları da içerdiği not düşüldü.
Güvenlik araştırmacıları üçüncü parti bulut hizmetlerinin uygulamalara entegre edildiği veya belli düzenlemelerin yapıldığı zaman en çok tercih edilen basamakların takip edilmesi gerektiğini vurguladı. Bu adımlara dikkat edilmediği için milyonlarca kullanıcının bilgilerinin sızdırıldığının altı çiziliyor.
Yaşanan sızıntının sadece kullanıcıları değil, ancak depolama ve güncelleme mekanizması gibi kurumsal kaynakları ifşa edilen geliştiricileri de risk altına aldığı ifade edildi. Google Play Store‘da sızıntıya maruz kaldığı belirtilen uygulamaların bazılarının isimleri şu şekilde:
-iFax
-T’Leva
-Astro Guru
-Logo Maker
-Screen Recorder
Araştırmacılar aynı zamanda uygulama geliştiriciler tarafından bulutta kullanılan birçok veri tabanının şifre ile korunmadığını öne sürdü. Bu sebeple herkesin 100 milyondan fazla kişiye ait hassas bilgilere ulaşabileceği belirtildi.
Bu bilgiler şu şekilde sıralanabilir:
-İsimler
-Doğum tarihleri
-Konum
-E-mail adresleri
-Şifreler
-Fotoğraflar
-Cinsiyet
-Sohbet mesajları,
-Ödeme detayları
-İletişim bilgileri, vb.
Uygulamaların mobil platformlara entegre edilme sürecinde yaşanan eksiklikler geniş çaplı sorunu temsil ederken, acemi siber suçluların bile fayda sağlayabileceği bir zafiyet ortaya çıkmış oldu. Uygulama geliştiriciler bulut hizmetlerinde gerçek zamanlı veri tabanları kullandığı ve müşterileri ile gerçek zamanlı senkronize oldukları için tek bir küçük hata büyük sorunlara yol açabilir.
Araştırmacılar, analizlerinde bir Afrika ülkesi olan Angola merkezli taksi uygulaması T’Leva’dan kullanıcı bilgileri çekmeyi başardı. Şoförler ile yolcular arasındaki mesajlaşmaları içeren bilgilerde birçok kişiye ait isim, konum ve telefon numarası gibi bilgilere kolaylıkla erişim sağlandı.
Dahası, uygulama geliştiriciler uygulama üzerinden bildiriler gönderme ve bulut hizmetlerine erişim sağlamak için gerekli anahtarı da uygulamaya ekledi. Bu sayede dolandırıcı ve siber suçlular geliştiricilere sahte bildiriler gönderebilir veya kullanıcılara oltalama saldırıları düzenleyebilir.