Google Play’deki yeni izin gerekliliklerinden ne beklenmeli

Aramalara ve SMS mesajlarına iyi bir sebebi olmadan erişim isteyen uygulamalar Google Play tarafından çıkarılmaya başlandı. Ne türden tehlikelerin ortaya çıkabileceğini açıklayalım.

Kısa bir süre önce Google Play uygulamalar için yeni bir gerekliliği duyurdu. Bundan sonra eğer bir uygulama aramalara ve SMS mesajlarına erişmeden çalışabiliyorsa, o uygulamanın erişim istemesine izin verilmeyecek. Kısıtlama daha da katı hale geliyor ve yakın bir zamanda yalnızca arama ve mesajlaşma uygulamalarının bu izinleri talep etme izni olacak. Buna rağmen şimdilik bu kuralın oldukça uzun bir istisna listesi var.

Geliştiricilere uygulamalarını Google’ın düzenlenmiş ilkesiyle uyumlu hale getirmeleri için 9 Mart’a kadar zaman verildi. Yeni gerekliliğin niçin iki tarafı keskin bıçak olduğunu inceleyelim.

Kullanıcı bilgisine hiç doymayan uygulamalar

Normal işlemleri için gerekenden daha fazla izni isteyen Android uygulamalarını tespit etmek hiç de zor değil: Yükleme esnasında talep ettikleri izinlerin listesine bir göz atın. Örneğin AliExpress online mağazası niçin ses kaydına ihtiyaç duyar? Ya da niçin arama geçmişinize bakmak ister?

İhtiyaç duyduğundan daha fazla izin talep eden uygulamaya bir örnek

Hatta büyük firmalar bile bazen izinleri suistimal ediyor ki az bilinen ya da hiç bilmeyen firmaların uygulamalarının daha da kötü olması sürpriz olmayacaktır. Bazıları kötü niyetli olabilir ve bilgi ile para çalmak için arama ve SMS mesajlarına erişimi kullanıyor olabilir. Örneğin kendi başına SMS gönderebilen ve alabilen kötü amaçlı bir yazılım sizi ücretli hizmetlere kaydettirmekte ya da tek kullanımlık kodu içeren bir banka mesajını yakalamakta herhangi bir sorun yaşamayacaktır.

Google Play güvenliğe güveniyor

Google bu sınırlamaların amacının kullanıcı gizliliğini korumak olduğunu söylüyor. Mantık basit: Gerçek geliştiriciler yüz milyonlarca insanın kullandığı yazılım pazarından men olmak yerine gereksiz izinlerden vazgeçmeyi tercih eder. Bu sırada zararlı SMS okuyucuları ve arama casus yazılımlarının dışarıda kalmak dışında bir seçeneği yok. Her yönüyle mükemmel haber, değil mi? Ne yazık ki bu kadar basit değil.

Ne ters gidebilir: Kuralın yanlış olduğunu gösteren istisnalar

Gerçekte bir çok uygulama çok sayıda faydalı işlevi yürütmek için aramalara ve SMS mesajlarına erişime ihtiyaç duyar, örneğin hesap doğrulama, yedekleme, aramaları ve mesajları cihazlar arasında senkronize etme, istenmeyen e-postaları bloklama ve daha fazlası gibi.

Dolayısıyla gerçek geliştiricileri incitmemek ve kullanıcıları faydalı araçlardan mahrum bırakmamak için mevcut Google Play ilkeleri, bu gibi durumlarda arzu edilen bu izinlerin kullanıcılardan talep edilmesine izin veren istisnaları sağlar. Madalyonun öbür yüzündeyse siber suçlular da uygulamalarının içine güvenli kabul edilen herhangi bir işlevi entegre ederek yasağın arkasından dolanabilir. Yani Google Play’in aramalara ve SMS mesajlarına burnunu sokan tüm uygulamaları yasaklamakla başarılı olması olası değildir: zararlı el feneri uygulamlarının yerini sadece zararlı spam arama engelleyiciler alacaktır.

Başka neler aksi gidebilir? Yalnızca kötü amaçlı yazılımdan fazlası da dışarı atılmış olacaktır

Bir başka olası sorun: Google Play yalnızca şüpheli uygulamalara değil ayrıca hakiki ve faydalı uygulamalara da kapıyı göstermiş olacaktır. Çoğu geliştirici çok patırtı yapmadan talep ettikleri izinlerin listelerini muhtemelen gözden geçirmiştir. Ancak her ne sebeple olursa olsun bunu yapamayacak ya da yapmamayı tercih edecek ve ayrılmayı seçecek olan bazı uygulamalar olabilir. Bu daha önce yaşanmıştı. Çılgın bir şekilde popüler olan Fortnite oyunun sahipleri, örneğin, Google Play’in şartlarından memnun değildi ve Play olmadan devam etmeye karar verdiler.

Meşru geliştiricilerin ayrılması kullanıcılar için iyi bir haber değil. İlk olarak Google mağazada bulunmayan uygulamalar muhtemelen başka mecralarda aranacak ve kullanıcıların sahte olanlara bulaşma ihtimalini artıracaktır. İkinci olarak Google Play’in yeni filtresini geçemeyen çoğu geliştirici daha düşük güvenlik gereklilikleri olan sitelere taşınacaktır. Bu uygulamaların hayranları da elbette takip edecektir ki bu da bu gibi sitelerin izleyici sayısını artıracaktır. Her ne olursa olsun siber suçlular için iyi haber.

Değişim rüzgarına dayanmak

Google Play’in yeni kuralı mobile uyulama pazarındaki güç dinamiğini mutsuz etmeye başladı ve bunun anlamı da Android kullanıcılarının yakın gelecekte özellikle tetikte olma ihtiyacı duyacak olamalarıdır.

  • İlk olarak şüpheli kaynaklardan asla uygulama indirmeyin. Eğer bir uygulama Google Play’de yoksa arama sonuçlarında ortaya çıkan ilk siteden indirmeyin. Geliştiricinin resmi web sayfasını bulun ve oradan indirin.
  • Sadece tanınmış firmaların geliştirdiği yazılımları indirin. Bunu yapmadan önce de indirmek istediğiniz uygulamanın Android için gerçekten var olduğundan emin olun.
  • Uygulamanın istediği izinleri kontrol edin ve uygulamaya ek izinler vermeyin, hatta uygulamanın zararlı yazılım olmadığı konusunda emin olsanız bile. Android 6 ve 7 ile Android 8 ve daha üstü sürümlerdeki uygulama izin ayarlarını daha önce tartışmıştık.
  • Sisteminizi Kaspersky Security Cloud gibi iyi bir antivirüs çözümüyle koruduğunuzdan emin olun. Bu uygulama kötü amaçlı yazılımların kokusuna karşı sizden daha hassastır.
İpuçları