Sızıntı reklamlar

Nisan 20, 2018

Okurlarımızı, kaynakları bilinmeyen programların neden olduğu tehlikeler konusunda defalarca uyardık. Yine de çoğu kullanıcı, güvenilir geliştiricilerin ve güvenilir kaynakların sunduğu uygulamalara güvenme konusunda hiçbir tereddüt yaşamıyor gibi görünmüyor: Olumlu oylamalar, milyonlarca indirme ve Google Play gibi resmi mağazalardan dağıtım sanki bir güvenlik rozetiymiş gibi algılanıyor. Ancak bunun hiçbir garantisi yok.

Bu makale Truva Atlarıyla değil, iyi niyetli olsa da verilerinizi çevrimiçi ortama sızdırabilecek uygulamalar hakkında. Uzmanlarımız, toplamda 13 milyondan fazla APK (Android uygulama paketleri) üzerinde çalışıp bunların yaklaşık dörtte birinin şifrelenmemiş verileri internet üzerinden ilettiğini keşfetti. Bu uygulamalardan bazıları yüz milyonlarca kez, bazılarıysa yarım milyardan fazla kez indirilmiş! Bu küçük bir sorun değil.

Bilgiler bazen geliştiricilerin hatası yüzünden internete sızar, ancak hikaye her zaman bu şekilde gelişmez. Gönderen kullanıcı bilgilerini bir sunucuya göndermesi istendiğinde çoğu uygulama, verilerin başkaları tarafından engellenmesini önlemek için güvenli HTTPS protokolünü kullanır. Burada sorun, geliştiricilerin arka plan kontrolü olmadan girdikleri üçüncü taraf hizmetlerden kaynaklanır. Örneğin, bazı analizler veya reklam hzimetleri internet üzerinden bilgiyi güvenli olmayan standart HTTP protokolünü kullanarak iletir.

Hangi bilgiler etkilenebilir?

Ortaya çıkardığımız veri sızıntılarının çoğu cihaz modeli, cihazın teknik özellikleri, ağ veya İSS’ye ilişkin veriler ve APK ismi (sistemin paketi tanıdığı) ile ilgiliydi. Ayrıca birçok hizmet akıllı telefon veya tablet koordinatlarını da sızdırmıştı.

Bazı durumlarda uygulama kullanımı ile ilgili bilgiler, gömülü bir üçüncü taraf hizmeti yoluyla HTTP üzerinden aktarılmıştı. Bu bilgiler arasında beğeniler, gönderiler, ziyaret edilen sayfalar ve bunların yanı sıra aracın sahibiyle ilgili isim, telefon numarası, doğum tarihi gibi bilgiler de bulunuyordu. Her bir yetkilendirme talebi için oluşturulan özgün anahtarların da çoğu zaman güvensiz bir şekilde aktarıldığı ortaya çıktı. Neyse ki bazı hzimetler yapıyor olsa da, çoğu hizmet giriş ve şifreleri şifrelenmemiş şekilde iletmiyor.

Bunun nesi tehlikeli?

HTTP üzerinden iletilen bilgiler düz metin olarak iletilir ve (örneğin İSS’nizi de içeren) bu bilgileri hemen hemen herkes okuyabilir. Dahası, uygulamadan üçüncü taraf sunucusuna giden yolda belirli bir süre boyunca bilgileri alıp saklayan cihaz şeklinde birçok “geçiş noktası” bulunabilir.

Ev yönlendiriciniz dahil olmak üzere herhangi bir ağ ekipmanı savunmasız olabilir. Saldırı durumunda korsanlar bilgilerinize erişebilir. (O sırada İSS herhangi bir saldırıya ihtiyaç duymadan bu bilgilere bakabilir.) Cihaz hakkında bazı bilgileri (özellikle IMEI ve IMSI numaraları) elde etmek ise sonraki hareketlerinizi izleyebilmek için yeterlidir. Bilgileriniz ne kadar tam olursa, başkalarına karşı o kadar açık bir kitap haline gelirsiniz; reklamcılardan sahte arkadaşlara, pek çok kaynaktan kötü niyetli dosyalar indirmeniz için teklifler alabilirsiniz.

Öte yandan cihaz ve kullanıcı verisi sızıntıları sorunun yalnızca bir tarafı; şifrelenmemiş bilgilerin yerine başka şeyler yerleştirilebilir. Örneğin; sunucu, bir uygulamadan gelen HTTP talebine cevap olarak siber suçluların durdurup yerine daha az zararlı bir versiyonunu koyabileceği bir video reklamı gönderebilir. Veya kolaylıkla reklamın içindeki bağlantıyı değiştirerek kullanıcının sevimli bir oyun veya alışveriş kaynağı yerine çok daha kötü bir şey indirmesine neden olabilir.

Ne yapabilirsiniz?

Bu konuların uygulama geliştiricileri tarafından ciddi anlamda ele alınması gerekir. Fakat bu görev için onlara tam anlamıyla güvenilemeyeceği için sizi ve verilerinizi daha iyi koruyabilmeniz adına birkaç ipucumuz var.

  • Uygulamaların istediği izinleri kontrol edin: Zaman alsa dahi asla zaman kaybı olmayacaktır, uygulama milyonlarca kez indirilmiş olsa bile. Mesela, bir mesajlaşma uygulaması konumunuzu bilmek istiyorsa bunu açıklayana kadar zorbalığa maruz kalmayın. Buradan Android izinlerine dair daha fazla bilgi edinebilirsiniz.
  • Paranız yettiğince uygulamaların ücretli sürümlerini alın. Reklamsız oldukları için daha az veri sızıntısı riski taşır. Yine de genellikle uslu durmayan üçüncü taraf analiz modülleri kullanıyor olabilir.