EJDERHA CEBİNİZDEKİ VERİLERİN PEŞİNDE
Meğer parolalarınız, bitcoin adresleriniz ve telefonunuzda panoya kopyaladığınız her şeyiniz ortalıktaymış.
Mart ayında araştırmacılar, sosyal medya ve video paylaşım konusunda dünya çapında fırtınalar estiren TikTok dahil olmak üzere Çin’li geliştiricilere sahip elliden fazla iOS uygulamasıyla ilgili rahatsız edici bir gizlilik açığını ortaya çıkardı. Her ne kadar TikTok, Apple kullanıcılarının şifreleri, kripto para cüzdanı adreslerini, hesap sıfırlama bağlantılarını ve kişisel mesajları içeren en hassas verilerine erişmesine imkan sağlayan bu uygulamayı durduracağı konusunda yeminler etmiş olmasına rağmen, bu konuda henüz bir önlem almış değil. Tik Tok gibi aynı açıktan yararlandığı Mart ayında belirlenmiş olan diğer 53 uygulama da henüz bir önlem almış değil.
Mart ayında tespit edilen bu güvenlik açığı, bilgisayarların ve diğer cihazların şifre yöneticileri ve e-posta programları gibi şeylerden kesme veya kopyalama yöntemi ile alınmış verileri tuttuğu panolarda bulunan metinlere erişilmesinden kaynaklanıyor. Araştırmacılar Talal Haj Bakry ve Tommy Mysk, bu 53 uygulamanın görünürde hiç bir sebep olmadan, kasıtlı olarak kullanıcıların panolarından metin alan bir iOS programlama ara yüzünü çağırdıklarını keşfettiler.
Evrensel Dikizleme
Uygulamaların çaktırmadan verileri okumaları sadece elinizde tuttuğunuz cihazla sınırlı olmuyor. İPhone, iPad veya diğer Apple cihazları eğer aynı Apple Kimliğini kullanıyorlarsa ve birbirlerinin yaklaşık 3 metre yakınındaysalar, ortak bir pano paylaşırlar. Yani bir cihazdaki uygulamada kopyaladığınız bir içeriği, bir başka cihazdaki başka bir uygulamaya yapıştırılabiliyorsunuz. Kullanıcı açısından çok faydalı olsa da bu özellik bir uygulamanın diğer bağlı cihazların panolarındaki hassas verileri okuma olasılığını da doğuruyor. Bu, yakındaki bir Mac’in veya iPad’in panosunda geçici olarak depolanan bitcoin adreslerini, şifreleri veya e-posta mesajlarını ya da diğer her türlü hassas verinizi içerebilir. Böylece ayrı bir cihazda çalışmasına rağmen, iOS uygulamaları diğer makinelerde saklanan hassas verilere kolayca erişebilir.
Mysk, cuma günü yaptığı bir röportajda, uygulamaların pano verilerini ayrım gözetmeden okumasına değinerek “Bu uygulamalar panoları okuyor. Metin girmek için bile bir yazı kutusu bulunmayan uygulamaların panoya erişmelerinde işlevsel bir neden varmış gibi görünmüyor ve bu durum çok çok tehlikeli” dedi.
Bir kez daha haberlerde
Haj Bakry ve Mysk araştırmalarını aslında Mart ayında yayınlamışlardı. Bu hafta iOS 14’ün geliştirici beta sürümünün yayınlanması ile riskli uygulamalar tekrar gündem oldu. Apple’ın eklediği yeni bir özellik, bir uygulama pano içeriğini her okuduğunda bir uyarı veriyor. İOS 14 beta sürümü çok sayıda insan tarafından test etmeye başlanınca kaç uygulamanın panoya eriştiğini ve bunun ne sıklıkla gerçekleştiğini fark etmeye başladılar. 23 Haziran Salı günü yayınlanmasından bu yana 120 binden fazla görüntüleme alan bir YouTube videosunda (https://youtu.be/pRSWdtoUAjo), İOS 14’ün yeni uyarsını tetikleyen uygulamalardan küçük bir örnek gösteriyor.
TikTok Mercek Altında
Bu aralar manşetler aktif kullanıcı kitlesi 800 milyonu aştığı bilinen ve sadece 2018’in ilk yarısında bile Apple Store’da yaklaşık 104 milyon iOS defa indirilen TikTok’a odaklanıyor. Basının bu ilgisinin sebebi TikTok’un Mart ayında fark edilen bu gözetleme faaliyetini durdurmamış olması ve diğer başka nedenler. Mart ayında ortaya çıktığında İngiliz Telegraph gazetesine beyanat veren TikTok bu duruma bir son vereceğini açıklamıştı. Ama Mysk’e göre TikTok izlemeyi asla durdurmadı.
Dahası, 25 Haziran Perşembe günü yayınlanan bir Twitter akışında, TikTok’un kullanıcı bir yorum yazarken girdiği her bir noktalama işaretinde veya boşluk çubuğuna her dokunduğunda panoyu okuduğu ortaya çıktı. Bu işlem panonun sürekli ve her saniye okunduğu ve Mart ayında öne sürülenden çok daha saldırgan bir işlem olarak yürütüldüğü veya daha fazla gerçekleşebileceği anlamına gelir. Mart ayında yayınlanan araştırmada TikTok’un sadece uygulama açılırken ve kapanırken panoya eriştiğini söylemişti ki, eğer son söylenen doğruysa çok daha saldırgan bir işlemden bahsediyoruz demektir.
Bir açıklama da TikTok’dan
22 Haziran’da iOS14’ün beta sürümünün ardından, kullanıcılar bir dizi popüler uygulama kullanırken bildirimler gördü. TikTok açısından bu durum tekrarlayan ve spam içeren davranışları tanımlamak için tasarlanmış bir özellik tarafından tetiklenmektedir. Olası bir karışıklığı ortadan kaldırmak için uygulamanın güncellenmiş bir sürümünü App Store’a gönderdik. TikTok, kullanıcıların gizliliğini korumaya ve uygulamamızın nasıl çalıştığı konusunda şeffaf olmaya kendini adamıştır. Dış uzmanları bu yıl Şeffaflık Merkezimizde ağırlamayı dört gözle bekliyoruz.
Ancak arka planda konuşan bir sözcü TikTok’un Android için asla bir anti-spam özelliği içermediğini söyledi. Bu yüzden TikTok’a,
(1) TikTok’un Android sürümünün başka her hangi bir nedenden ötürü panoları izleyip izlemediğini,
(2) cihazdan dışarıya herhangi bir pano metni yüklenip yüklenmediğini
(3) TikTok’un izleme özelliğini neden söz verdiği gibi Mart ayında sonlandırmadığını sorularını sordum. TikTok’tan henüz bir cevap vermedi.
Sadece TikTok da Değil
Araştırmacılar, şu diğer iOS uygulamalarının her açıldıklarında pano verilerini okuduğunu tespit ettiler:
- Uygulama Adı — BundleID
Haber Uygulamaları
- ABC News — com.abcnews.ABCNews
- Al Jazeera English — ajenglishiphone
- CBC News — ca.cbc.CBCNews
- CBS News — com.H443NM7F8H.CBSNews
- CNBC — com.nbcuni.cnbc.cnbcrtipad
- Fox News — com.foxnews.foxnews
- News Break — com.particlenews.newsbreak
- New York Times — com.nytimes.NYTimes
- NPR — org.npr.nprnews
- ntv Nachrichten — de.n-tv.n-tvmobil
- Reuters — com.thomsonreuters.Reuters
- Russia Today — com.rt.RTNewsEnglish
- Stern Nachrichten — de.grunerundjahr.sternneu
- The Economist — com.economist.lamarr
- The Huffington Post — com.huffingtonpost.HuffingtonPost
- The Wall Street Journal — com.dowjones.WSJ.ipad
- Vice News — com.vice.news.VICE-News
Oyunlar
- 8 Ball Pool™ — com.miniclip.8ballpoolmult
- AMAZE!!! — com.amaze.game
- Bejeweled — com.ea.ios.bejeweledskies
- Block Puzzle —Game.BlockPuzzle
- Classic Bejeweled — com.popcap.ios.Bej3
- Classic Bejeweled HD —com.popcap.ios.Bej3HD
- FlipTheGun — com.playgendary.flipgun
- Fruit Ninja — com.halfbrick.FruitNinjaLite
- Golfmasters — com.playgendary.sportmasterstwo
- Letter Soup — com.candywriter.apollo7
- Love Nikki — com.elex.nikki
- My Emma — com.crazylabs.myemma
- Plants vs. Zombies™ Heroes — com.ea.ios.pvzheroes
- Pooking – Billiards City — com.pool.club.billiards.city
- PUBG Mobile — com.tencent.ig
- Tomb of the Mask — com.happymagenta.fromcore
- Tomb of the Mask: Color — com.happymagenta.totm2
- Total Party Kill — com.adventureislands.totalpartykill
- Watermarbling — com.hydro.dipping
Sosyal Medya Uygulamaları
- TikTok — com.zhiliaoapp.musically
- ToTalk — totalk.gofeiyu.com
- Tok — com.SimpleDate.Tok
- Truecaller — com.truesoftware.TrueCallerOther
- Viber — com.viber
- Weibo — com.sina.weibo
- Zoosk — com.zoosk.Zoosk
Diğer
- 10% Happier: Meditation —com.changecollective.tenpercenthappier
- 5-0 Radio Police Scanner — com.smartestapple.50radiofree
- Accuweather — com.yourcompany.TestWithCustomTabs
- AliExpress Shopping App — com.alibaba.iAliexpress
- Bed Bath & Beyond — com.digby.bedbathbeyond
- Dazn — com.dazn.theApp
- Hotels.com — com.hotels.HotelsNearMe
- Hotel Tonight — com.hoteltonight.prod
- Overstock — com.overstock.app
- Pigment – Adult Coloring Book — com.pixite.pigment
- Recolor Coloring Book to Color — com.sumoing.ReColor
- Sky Ticket — de.sky.skyonline
- The Weather Network — com.theweathernetwork.weathereyeiphone
Durumu Düzeltenler
Rapor yayınlandıktan sonra panoyu okumayı bırakan ve buna göre düzeltilen uygulamalar ise şunlar:
Haberler
- ABC News — com.abcnews.ABCNews
- Al Jazeera English — ajenglishiphone
- CBC News — ca.cbc.CBCNews
- CBS News — com.H443NM7F8H.CBSNews
- ntv Nachrichten — de.n-tv.n-tvmobil
Oyunlar
- 8 Ball Pool™ — com.miniclip.8ballpoolmult
- AMAZE!!! — com.amaze.game
- Classic Bejeweled — com.popcap.ios.Bej3
- Classic Bejeweled HD — com.popcap.ios.Bej3HD
- Letter Soup — com.candywriter.apollo7
- PUBG Mobile — com.tencent.ig
- Tomb of the Mask — com.happymagenta.fromcore
- Tomb of the Mask: Color — com.happymagenta.totm2
Sosyal Medya Uygulamaları
- TikTok — com.zhiliaoapp.musically
- Truecaller — com.truesoftware.TrueCallerOther
- Viber — com.viber
- Diğer
- 10% Happier: Meditation —com.changecollective.tenpercenthappier
- 5-0 Radio Police Scanner — com.smartestapple.50radiofree
- Dazn — com.dazn.theApp
- Hotels.com — com.hotels.HotelsNearMe
- Hotel Tonight — com.hoteltonight.prod
- Recolor Coloring Book to Color — com.sumoing.ReColor
Pano Nasıl Doğru Okunur?
Pano okumak bazı durumlarda uygulamaları daha kullanışlı hale de getirebilir. Örneğin UPS iPhone uygulaması, panodan metin çeker ve metnin bir takip numarasının özellikleriyle eşleşmesi durumunda uygulama kullanıcıdan ilgili paketi izlemesini ister. Google Chrome da panodan metin alır ve URL olması durumunda kullanıcıdan göz atmasını ister. Pixelmator fotoğraf editörü verileri yalnızca bir görüntü ise okur ve kullanıcıdan düzenleme için açmasını ister. Her üç durumda da, veri okumasının açık ve anlaşılır bir kullanım amacı vardır ve şeffaftır.
TikTok ve diğer rahatsız edici uygulamalar, bunun tam aksine, panoya açık bir sebep olmadan ve hiçbir belirti göstermeden erişirler. Mysk, Apple’ın ve Haj Bakry ile birlikte yayınladıkları araştırmalarını iOS 14’e eklenen yeni pano bildirim özelliğini öne çıkarmak için kullanmayı planladığını söyledi.
Haj Bakry ve Mysk’in ortaya çıkardığı uygulamaların panoyu sebepsiz okumaları durumu, Android ve muhtemelen diğer işletim sistemlerini kullananların da endişelerini artırıyor. Mysk, Android uygulamalarında panonun okunmasının iOS’tan daha da kötü olduğunu söyledi çünkü Androis OS API’leri çok daha gevşek. Örneğin, sürüm 10’a kadar, Android arka planda çalışan uygulamaların panoyu serbestçe okumasına izin veriyordu. iOS uygulamaları ise aksine panoları yalnızca etkin olduklarında (yani ön planda çalışırlarken) okuyabilir veya sorgulayabilirler.
Mysk, Apple’ın yeni bildirim özelliğinin iyi bir başlangıç olduğunu ancak sonuç olarak Apple ve Google’ın daha fazlasını yapması gerektiğini söylüyor. Bir olasılık, tıpkı bir mikrofona veya kameraya erişimde olduğu gibi panoya erişimi standart bir izin haline getirmek olabilir. Başka bir olasılık, uygulama geliştiricilerinin hangi pano verilerine erişildiğini ve uygulamanın ne yaptığını tam olarak açıklamasını istemektir.
Yeni önlemler alınana kadar ve şimdilik, kullanıcılar panoda saklanan tüm verilere (çıplak gözle görülmemesine rağmen), çoğu durumda cihaza yerel olarak yüklenmemiş uygulamalar tarafından düzenli olarak erişilebileceğinin farkında olmalıdır. Böyle bir durumdan şüphe duyduğunuzda, her hangi bir karakteri, kelimeyi veya başka bir zararsız veri parçasını kopyalayarak pano verilerini temizleyebilirsiniz.
Yazar : Dan Goodin ( @dangoodin001)
Kaynak: ArsTechnica
Yayın Tarihi : 27 Haziran 2020
Çeviren: Murat Kaya