Mobile logo
Top

EJDERHA CEBİNİZDEKİ VERİLERİN PEŞİNDE

Çeviriler Dünya Haber Veri Güvenliği Yazı

EJDERHA CEBİNİZDEKİ VERİLERİN PEŞİNDE

Meğer parolalarınız, bitcoin adresleriniz ve telefonunuzda panoya kopyaladığınız her şeyiniz ortalıktaymış.

Kaynak : Wikimedya Commons

Mart ayında araştırmacılar, sosyal medya ve video paylaşım konusunda dünya çapında fırtınalar estiren TikTok dahil olmak üzere Çin’li geliştiricilere sahip elliden fazla  iOS uygulamasıyla ilgili  rahatsız edici bir gizlilik açığını ortaya çıkardı. Her ne kadar TikTok, Apple kullanıcılarının şifreleri, kripto para cüzdanı adreslerini, hesap sıfırlama bağlantılarını ve kişisel mesajları içeren en hassas verilerine erişmesine imkan sağlayan bu uygulamayı durduracağı konusunda yeminler etmiş olmasına rağmen, bu konuda henüz bir önlem almış değil.  Tik Tok gibi aynı açıktan yararlandığı Mart ayında belirlenmiş olan diğer 53 uygulama da henüz bir önlem almış değil. 

Mart ayında tespit edilen bu güvenlik açığı, bilgisayarların ve diğer cihazların şifre yöneticileri ve e-posta programları gibi şeylerden kesme veya kopyalama yöntemi ile alınmış verileri tuttuğu panolarda bulunan metinlere erişilmesinden kaynaklanıyor. Araştırmacılar Talal Haj Bakry ve Tommy Mysk, bu 53 uygulamanın görünürde hiç bir sebep olmadan, kasıtlı olarak kullanıcıların panolarından metin alan bir iOS programlama ara yüzünü çağırdıklarını keşfettiler.

Evrensel Dikizleme 

Uygulamaların çaktırmadan verileri okumaları sadece elinizde tuttuğunuz cihazla sınırlı olmuyor. İPhone, iPad veya diğer Apple cihazları eğer aynı Apple Kimliğini kullanıyorlarsa ve birbirlerinin yaklaşık 3 metre yakınındaysalar, ortak bir pano paylaşırlar. Yani bir cihazdaki uygulamada kopyaladığınız bir içeriği, bir başka cihazdaki başka bir uygulamaya yapıştırılabiliyorsunuz. Kullanıcı açısından çok faydalı olsa da bu özellik bir uygulamanın diğer bağlı cihazların panolarındaki hassas verileri okuma olasılığını da doğuruyor. Bu, yakındaki bir Mac’in veya iPad’in panosunda geçici olarak depolanan bitcoin adreslerini, şifreleri veya e-posta mesajlarını ya da diğer her türlü hassas verinizi içerebilir. Böylece ayrı bir cihazda çalışmasına rağmen, iOS uygulamaları diğer makinelerde saklanan hassas verilere kolayca erişebilir. 

Mysk, cuma günü yaptığı bir röportajda, uygulamaların pano verilerini ayrım gözetmeden okumasına değinerek “Bu uygulamalar panoları okuyor. Metin girmek için bile bir yazı kutusu bulunmayan uygulamaların panoya erişmelerinde işlevsel bir neden varmış gibi görünmüyor ve bu durum çok  çok tehlikeli” dedi.  

Bir kez daha haberlerde

Haj Bakry ve Mysk araştırmalarını aslında Mart ayında yayınlamışlardı. Bu hafta iOS 14’ün geliştirici beta sürümünün yayınlanması ile riskli uygulamalar tekrar gündem oldu.  Apple’ın eklediği yeni bir özellik, bir uygulama pano içeriğini her okuduğunda bir uyarı veriyor. İOS 14 beta sürümü çok sayıda insan tarafından test etmeye başlanınca kaç uygulamanın panoya eriştiğini ve bunun ne sıklıkla gerçekleştiğini fark etmeye başladılar. 23 Haziran Salı günü yayınlanmasından bu yana 120 binden fazla görüntüleme alan bir YouTube videosunda (https://youtu.be/pRSWdtoUAjo), İOS 14’ün yeni uyarsını tetikleyen uygulamalardan küçük bir örnek gösteriyor.

TikTok Mercek Altında

Bu aralar manşetler  aktif kullanıcı kitlesi 800 milyonu aştığı bilinen ve sadece 2018’in ilk yarısında bile Apple Store’da yaklaşık 104 milyon iOS defa indirilen TikTok’a odaklanıyor. Basının bu ilgisinin sebebi TikTok’un Mart ayında fark edilen bu gözetleme faaliyetini durdurmamış olması ve diğer başka nedenler. Mart ayında ortaya çıktığında İngiliz Telegraph gazetesine beyanat veren TikTok bu duruma bir son vereceğini açıklamıştı. Ama Mysk’e göre TikTok izlemeyi asla durdurmadı.

Dahası, 25 Haziran Perşembe günü yayınlanan bir Twitter akışında, TikTok’un kullanıcı bir yorum yazarken girdiği her bir noktalama işaretinde veya boşluk çubuğuna her dokunduğunda panoyu okuduğu ortaya çıktı. Bu işlem panonun sürekli ve her saniye okunduğu ve Mart ayında öne sürülenden çok daha saldırgan bir işlem olarak yürütüldüğü  veya daha fazla gerçekleşebileceği anlamına gelir. Mart ayında yayınlanan araştırmada TikTok’un sadece uygulama açılırken ve kapanırken panoya eriştiğini söylemişti ki, eğer son söylenen doğruysa çok daha saldırgan bir işlemden bahsediyoruz demektir. 

@jeremyburge ‘un tespitleri daha da saldırgan bir TikTok ortaya koyuyor.

Bir açıklama da TikTok’dan

22 Haziran’da iOS14’ün beta sürümünün ardından, kullanıcılar bir dizi popüler uygulama kullanırken bildirimler gördü. TikTok açısından bu durum tekrarlayan ve spam içeren davranışları tanımlamak için tasarlanmış bir özellik tarafından tetiklenmektedir. Olası bir karışıklığı ortadan kaldırmak için uygulamanın güncellenmiş bir sürümünü App Store’a gönderdik. TikTok, kullanıcıların gizliliğini korumaya ve uygulamamızın nasıl çalıştığı konusunda şeffaf olmaya kendini adamıştır. Dış uzmanları bu yıl Şeffaflık Merkezimizde ağırlamayı dört gözle bekliyoruz.

Ancak arka planda konuşan bir sözcü TikTok’un Android için asla bir anti-spam özelliği içermediğini söyledi. Bu yüzden TikTok’a,

 (1) TikTok’un Android sürümünün başka her hangi bir nedenden ötürü panoları izleyip izlemediğini, 

(2) cihazdan dışarıya herhangi bir pano metni yüklenip yüklenmediğini 

(3) TikTok’un izleme özelliğini neden söz verdiği gibi Mart ayında  sonlandırmadığını sorularını  sordum. TikTok’tan henüz bir cevap vermedi.

Sadece TikTok da Değil

Araştırmacılar, şu diğer iOS uygulamalarının her açıldıklarında pano verilerini okuduğunu tespit ettiler:

  • Uygulama Adı — BundleID

Haber Uygulamaları

  • ABC News — com.abcnews.ABCNews
  • Al Jazeera English — ajenglishiphone
  • CBC News — ca.cbc.CBCNews
  • CBS News — com.H443NM7F8H.CBSNews
  • CNBC — com.nbcuni.cnbc.cnbcrtipad
  • Fox News — com.foxnews.foxnews
  • News Break — com.particlenews.newsbreak
  • New York Times — com.nytimes.NYTimes
  • NPR — org.npr.nprnews
  • ntv Nachrichten — de.n-tv.n-tvmobil
  • Reuters — com.thomsonreuters.Reuters
  • Russia Today — com.rt.RTNewsEnglish
  • Stern Nachrichten — de.grunerundjahr.sternneu
  • The Economist — com.economist.lamarr
  • The Huffington Post — com.huffingtonpost.HuffingtonPost
  • The Wall Street Journal — com.dowjones.WSJ.ipad
  • Vice News — com.vice.news.VICE-News

Oyunlar

  • 8 Ball Pool™ — com.miniclip.8ballpoolmult
  • AMAZE!!! — com.amaze.game
  • Bejeweled — com.ea.ios.bejeweledskies
  • Block Puzzle —Game.BlockPuzzle
  • Classic Bejeweled — com.popcap.ios.Bej3
  • Classic Bejeweled HD —com.popcap.ios.Bej3HD
  • FlipTheGun — com.playgendary.flipgun
  • Fruit Ninja — com.halfbrick.FruitNinjaLite
  • Golfmasters — com.playgendary.sportmasterstwo
  • Letter Soup — com.candywriter.apollo7
  • Love Nikki — com.elex.nikki
  • My Emma — com.crazylabs.myemma
  • Plants vs. Zombies™ Heroes — com.ea.ios.pvzheroes
  • Pooking – Billiards City — com.pool.club.billiards.city
  • PUBG Mobile — com.tencent.ig
  • Tomb of the Mask — com.happymagenta.fromcore
  • Tomb of the Mask: Color — com.happymagenta.totm2
  • Total Party Kill — com.adventureislands.totalpartykill
  • Watermarbling — com.hydro.dipping

Sosyal Medya Uygulamaları

  • TikTok — com.zhiliaoapp.musically
  • ToTalk — totalk.gofeiyu.com
  • Tok — com.SimpleDate.Tok
  • Truecaller — com.truesoftware.TrueCallerOther
  • Viber — com.viber
  • Weibo — com.sina.weibo
  • Zoosk — com.zoosk.Zoosk

Diğer

  • 10% Happier: Meditation —com.changecollective.tenpercenthappier
  • 5-0 Radio Police Scanner — com.smartestapple.50radiofree
  • Accuweather — com.yourcompany.TestWithCustomTabs
  • AliExpress Shopping App — com.alibaba.iAliexpress
  • Bed Bath & Beyond — com.digby.bedbathbeyond
  • Dazn — com.dazn.theApp
  • Hotels.com — com.hotels.HotelsNearMe
  • Hotel Tonight — com.hoteltonight.prod
  • Overstock — com.overstock.app
  • Pigment – Adult Coloring Book — com.pixite.pigment
  • Recolor Coloring Book to Color — com.sumoing.ReColor
  • Sky Ticket — de.sky.skyonline
  • The Weather Network — com.theweathernetwork.weathereyeiphone

Durumu Düzeltenler

Rapor yayınlandıktan sonra panoyu okumayı bırakan ve buna göre düzeltilen uygulamalar ise şunlar:

Haberler

  • ABC News — com.abcnews.ABCNews
  • Al Jazeera English — ajenglishiphone
  • CBC News — ca.cbc.CBCNews
  • CBS News — com.H443NM7F8H.CBSNews
  • ntv Nachrichten — de.n-tv.n-tvmobil

Oyunlar

  • 8 Ball Pool™ — com.miniclip.8ballpoolmult
  • AMAZE!!! — com.amaze.game
  • Classic Bejeweled — com.popcap.ios.Bej3
  • Classic Bejeweled HD — com.popcap.ios.Bej3HD
  • Letter Soup — com.candywriter.apollo7
  • PUBG Mobile — com.tencent.ig
  • Tomb of the Mask — com.happymagenta.fromcore
  • Tomb of the Mask: Color — com.happymagenta.totm2

Sosyal Medya Uygulamaları

  • TikTok — com.zhiliaoapp.musically
  • Truecaller — com.truesoftware.TrueCallerOther
  • Viber — com.viber
  • Diğer
  • 10% Happier: Meditation —com.changecollective.tenpercenthappier
  • 5-0 Radio Police Scanner — com.smartestapple.50radiofree
  • Dazn — com.dazn.theApp
  • Hotels.com — com.hotels.HotelsNearMe
  • Hotel Tonight — com.hoteltonight.prod
  • Recolor Coloring Book to Color — com.sumoing.ReColor

Pano Nasıl Doğru Okunur?

Pano okumak bazı durumlarda uygulamaları daha kullanışlı hale de getirebilir. Örneğin UPS iPhone uygulaması, panodan metin çeker ve metnin bir takip numarasının özellikleriyle eşleşmesi durumunda uygulama kullanıcıdan ilgili paketi izlemesini ister. Google Chrome da panodan metin alır ve URL olması durumunda kullanıcıdan göz atmasını ister. Pixelmator fotoğraf editörü verileri yalnızca bir görüntü ise okur ve kullanıcıdan düzenleme için açmasını ister. Her üç durumda da, veri okumasının açık ve anlaşılır bir kullanım amacı vardır ve şeffaftır. 

TikTok ve diğer rahatsız edici uygulamalar, bunun tam aksine, panoya açık bir sebep olmadan ve hiçbir belirti göstermeden erişirler. Mysk, Apple’ın ve Haj Bakry ile birlikte yayınladıkları araştırmalarını iOS 14’e eklenen yeni pano bildirim özelliğini öne çıkarmak için kullanmayı planladığını söyledi. 

Haj Bakry ve Mysk’in ortaya çıkardığı uygulamaların panoyu sebepsiz okumaları durumu, Android ve muhtemelen diğer işletim sistemlerini kullananların da endişelerini  artırıyor. Mysk, Android uygulamalarında panonun okunmasının iOS’tan daha da kötü olduğunu söyledi çünkü Androis OS API’leri çok daha gevşek. Örneğin, sürüm 10’a kadar, Android arka planda çalışan uygulamaların panoyu  serbestçe okumasına izin veriyordu. iOS uygulamaları ise aksine panoları yalnızca etkin olduklarında (yani ön planda çalışırlarken) okuyabilir veya sorgulayabilirler. 

Mysk, Apple’ın yeni bildirim özelliğinin iyi bir başlangıç ​​olduğunu ancak sonuç olarak Apple ve Google’ın daha fazlasını yapması gerektiğini söylüyor. Bir olasılık, tıpkı bir mikrofona veya kameraya erişimde olduğu gibi panoya erişimi standart bir izin haline getirmek olabilir. Başka bir olasılık, uygulama geliştiricilerinin hangi pano verilerine erişildiğini ve uygulamanın ne yaptığını tam olarak açıklamasını istemektir. 

Yeni önlemler alınana kadar ve şimdilik, kullanıcılar panoda saklanan tüm verilere (çıplak gözle görülmemesine rağmen), çoğu durumda cihaza yerel olarak yüklenmemiş uygulamalar tarafından düzenli olarak erişilebileceğinin farkında olmalıdır. Böyle bir durumdan şüphe duyduğunuzda, her hangi bir karakteri, kelimeyi veya başka bir zararsız veri parçasını kopyalayarak pano verilerini temizleyebilirsiniz.

Yazar : Dan Goodin ( @dangoodin001)

Kaynak: ArsTechnica

Yayın Tarihi : 27 Haziran 2020

Çeviren: Murat Kaya

1 Temmuz 2020
0
0
Çin mobil TikTok
Related Posts
Çalışanların Kullandığı Uygulamalar Verilerinizi Riske Atıyor
 21 Şubat 2020
Mobil Cihazları Yönetmenin Zamanı Geldi
 6 Ocak 2020
Murat Kaya
Murat Kaya
Yorum Bulunmuyor

Yorum Yapın