Binlerce Android ve Samsung Uygulamasında Gizli Tehlike

InputScope adlı yeni bir güvenlik aracı kullanılarak yapılan incelemeler, binlerce Android uygulamasının arka kapı ve istenmeyen içerikler gizlenmiş halde yüklendiğini ortaya çıkardı. Analiz edilen 150 binden fazla uygulama arasından 12 bin 706 adedinin arka kapı içerdiği, 3 bin 28’inin ise blacklist kelimeleri barındırdığı ifade edildi. Blacklist veya blocklist olarak adlandırılan terim e-posta adresleri, kullanıcı şifreleri, URL, IP adresleri, alan adları gibi içerikler üzerinden cihazlarda kullanılan erişim kontrol mekanizmasına işaret ediyor. Listede yer alan içerikler (kelimelere) erişimden bloke ediliyor. Güvenlik amacıyla da kullanılan blacklist, örneğin bir şirketin kendi bilgisayar ağında kullanılmasını istemediği yazılım veya e-posta adresini bloke etmesinde işe yarıyor. Öte yandan, “whitelist” izin verilen içerikleri barındırıyor.

Ohio State ve New York Üniversiteleri ile Helmhotz Bilişim Güvenliği Merkezi (CISPA) tarafından gerçekleştirilen araştırmada, incelenen uygulamaların 100 bininin Google Play Store’da yer aldığı, 30 bin adedinin ise Samsung akıllı telefonlara önceden yüklenmiş olduğu kaydedildi. Geriye kalan 20 bin uygulama ise Çin’in Google’ı olarak bilinen arama motoru Baidu’da.

Kullanılan InputScope aracı telefonlarda uygulanan komutlar; kullanıcı kimliğinin doğrulanma süreci ve doğrulama sürecindeki içerikleri otomatik taramadan geçirerek gizli fonksiyonları tespit ediyor.

Telefonlarda tespit edilen arka kapılar gizli erişim anahtarları, ana şifreler ve gizli imtiyazlı komutlar içeriyordu. Kara listeler ise (blacklists) sansürlü kelimeler, siber zorbalık ifadeleri ve zayıf şifreler gibi istenmeyen içerikler barındırıyordu.

Şaşırtıcı veriler…

Araştırmada, telefonlara önceden yüklenmiş uygulamaların diğerlerine kıyasla çok daha yoğun şekilde etik olmayan arka kapılar içerdiği fark edildi. Uygulamalarda tespit edilen arka kapıların tespit oranlarına bakıldığında %16’sı önceden yükleme yapılan Samsung telefonlarda, %6,8’i Google Play Store’da, %5,3’ü ise Baidu’da yer alıyordu.

Blacklist içeren uygulamaların ise %4,5’i Baidu, %3,9’u Samsung telefonlara önceden yüklenen uygulamalarken %2’si de Google kaynaklıydı.

Güvenlik araştırmalacıları, cihazlara yüklenen arka kapı ve blacklist içeren uygulamaların temel olarak uzaktan kontrol sağlamak için kullanıldığını hatırlatıyor. Gizli saldırı içerikleri aynı zamanda kullanıcı şifrelerini sıfırlamak, kullanıcıların belli bir içeriğe erişmesini engellemek ve siber suçlular tarafından ödeme arayüzlerini bypass etmek için kullanılıyor. Tüm bu işlemler kullanıcının ruhu duymadan gerçekleşiyor ve Android kullanıcıları için büyük bir risk teşkil ediyor.