Bağlantıda Kal

Binlerce Android Uygulaması İzin Vermeseniz Bile Telefonunuzu Takip Ediyor

Haber

Binlerce Android Uygulaması İzin Vermeseniz Bile Telefonunuzu Takip Ediyor

Normalde bir Android uygulaması sizden izin istediğinde çıkan mesaja hayır derseniz o uygulamanın buna uymasını beklersiniz. Fakat araştırmacılar, binlerce uygulamanın, Android’in izin sistemini atlatmanın yollarını bulduğunu ve sizi arayarak cihazınızın kendine özgün olan tanımlayıcısını kullanıp sizin konumuzu bulabilecek kadar veriyi toplayabildiğini söylüyor.

Kişisel olarak tanımlanmış veri bitlerini görmek için izin isteyince bir uygulamaya “hayır” deseniz bile yeterli olmayabilir çünkü, onayladığınız izinlere sahip ikinci bir uygulama bu bitleri diğeriyle paylaşabilir veya ortak paylaşım alanında bırakıp diğer uygulamaların kullanmasına yol açabilir. Ortak paylaşım alanında kalan bitleri zararlı yazılımlar dahil olmak üzere çoğu uygulama kullanarak telefonunuzu ele geçirebilir. İki uygulama birbiriyle alakalı görünmeyebilir, ancak araştırmacılar aynı yazılım geliştirme kitlerini (SDK) kullanarak oluşturuldukları için bu verilere erişebileceklerini ve SDK sahiplerinin bunu aldığına dair kanıtlar olduğunu söylüyorlar. Aynı bir çocuğun babasından hayır cevabını aldıktan sonra annesine gidip evet cevabını alması gibi verilere erişebiliyorlar.

PrivacyCon 2019’da sunulan bir araştırmaya göre, yüz milyonlarca kez indirilmiş olan Samsung ve Disney benzeri uygulamalardan bahsediyoruz. Çinli arama devi Baidu tarafından oluşturulan SDK’ları ve Salmonads adında bir analiz cihazını kullanarak verilerinizi bir uygulamadan diğerine (ve sunucularına) önce yerel olarak telefonunuzda depolayabilirler. Araştırmacılar, Baidu SDK’yı kullanan bazı uygulamaların kendi kullanımları için sessizce bu verileri elde etmeye çalıştığını gördüler.

Bu, ekibin bulduğu bazı yan kanal açıklarına ek olarak, bazıları ev ağınızın ve modeminizin benzersiz MAC adreslerini, kablosuz erişim noktasını, SSID’sini ve daha fazlasını gönderebiliyor. Uluslararası Bilgisayar Bilimi Enstitüsü’ndeki (ICSI) Kullanılabilir Güvenlik ve Gizlilik Grubu araştırma direktörü Serge Egelman, PrivacyCon’da çalışmayı sunarken, “Konum verileri için oldukça iyi bir vekil olarak bilinir” dedi.

Çalışma ayrıca, gerçek GPS koordinatlarını konumlarını izlemek için izin almadan sunucularına gönderen fotoğraf uygulaması Shutterfly’i seçti. Uygulamayı yapan şirket, bu verileri ve fotoğraflarınızın EXIF meta verilerinden topladığını ve bu veriyi izinsiz olarak kullandığını reddetti.

Google’a geçen Eylül’deki güvenlik açıkları hakkında bilgi verdiklerini söyleyen araştırmacılara göre, Android Q’da bu sorunların bazılarına yönelik düzeltmeler var. (Buna resmi Google sayfasına işaret ediyorlar.) Fakat, bu, Android Q güncellemesini alamayan birçok yeni nesil Android telefon için tehlikeli olabilir. (Mayıs ayından bu yana, Android cihazların yalnızca yüzde 10,4’ü en son sürüm olan Android P’yi kurdu ve yüzde 60’ı hala üç yaşındaki Android N’de çalışıyordu.)

Araştırmacılar, Google’ın daha fazlasını yaparak önlemlerini arttırması gerektiğini düşünüyor, mesela daha fazla güvenlik düzeltmeleri yapmaları gibi çünkü güvende olanlar sadece en yeni telefonlar olmamalı. Egelman, “Google kamuoyunun mahremiyetin lüks bir mal olmaması gerektiğini iddia ediyor, ancak burada olanlar kesinlikle bunu gösteriyor” dedi.

Google, bu güvenlik açıkları hakkında yorum yapmaktan kaçındı, ancak Android Q’nun coğrafi konum bilgilerini varsayılan olarak fotoğraf uygulamalarından gizleyeceğini ve fotoğrafların konum verilerine erişmesi gerektiğinde bunu Google Play Store’a bildireceğini söyledi.

Sesini Duyur

Bir Yorum Bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Haber Kategorisindeki Diğer Yazılarımız

To Top