{"id":4350,"date":"2017-10-30T15:24:53","date_gmt":"2017-10-30T12:24:53","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=4350"},"modified":"2019-11-15T14:47:17","modified_gmt":"2019-11-15T11:47:17","slug":"dating-apps-threats","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/dating-apps-threats\/4350\/","title":{"rendered":"Arkada\u015fl\u0131k uygulamalar\u0131 g\u00fcvenli mi?"},"content":{"rendered":"

\u00c7evrimi\u00e7i k\u0131smet arama \u2014 uzun s\u00fcreli veya tek gecelik bir ili\u015fki olabilir \u2014 bir s\u00fcredir olduk\u00e7a yayg\u0131n. Arkada\u015fl\u0131k \u2013 Fl\u00f6rt uygulamalar\u0131 art\u0131k g\u00fcnl\u00fck hayat\u0131m\u0131z\u0131n bir par\u00e7as\u0131. Bu tarz uygulamalar\u0131n kullan\u0131c\u0131lar\u0131 ideal partnerlerini bulmak i\u00e7in isimlerini, mesleklerini, \u00e7al\u0131\u015ft\u0131klar\u0131 yeri, tak\u0131ld\u0131klar\u0131 yerleri ve \u00e7ok daha fazlas\u0131n\u0131 payla\u015fmaya haz\u0131rlar<\/a>. Fl\u00f6rt uygulamalar\u0131nda bazen \u00e7\u0131plak foto\u011fraflar\u0131n da dahil oldu\u011fu \u00e7ok mahrem \u015feyler payla\u015f\u0131l\u0131yor. Peki bu uygulamalar b\u00f6yle verileri nas\u0131l dikkatli bir \u015fekilde kullan\u0131yor? Kaspersky Lab bunlar\u0131 g\u00fcvenlik ad\u0131mlar\u0131na tabi tutmaya karar verdi.<\/p>\n

Uzmanlar\u0131m\u0131z en pop\u00fcler mobil fl\u00f6rt uygulamalar\u0131<\/a> \u00fczerinde \u00e7al\u0131\u015ft\u0131 (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor) ve kullan\u0131c\u0131lar i\u00e7in ana tehditleri belirledi. Geli\u015ftiricileri tespit edilen t\u00fcm hassasiyetlere kar\u015f\u0131 \u00f6nceden bilgilendirdik ve bu metin yay\u0131nlanana kadar baz\u0131lar\u0131 \u00e7oktan onar\u0131lm\u0131\u015ft\u0131 ve di\u011ferlerinin yak\u0131n gelecekte d\u00fczeltilmesi planlan\u0131yordu. Bununla birlikte, her geli\u015ftirici t\u00fcm kusurlar\u0131 d\u00fczeltme s\u00f6z\u00fcn\u00fc vermedi.<\/p>\n

1. Tehdit \u2013 Kimsiniz?<\/h2>\n

Ara\u015ft\u0131rmac\u0131lar\u0131m\u0131z, inceledikleri dokuz uygulaman\u0131n d\u00f6rd\u00fcn\u00fcn kullan\u0131c\u0131lar taraf\u0131ndan verilen bilgilere dayal\u0131 olarak bir takma ad\u0131n arkas\u0131nda kimin oldu\u011funu potansiyel su\u00e7lular\u0131n tespit etmesini sa\u011flad\u0131\u011f\u0131n\u0131 ke\u015ffettiler. \u00d6rne\u011fin, Tinder, Happn, ve Bumble bir kullan\u0131c\u0131n\u0131n belirtilen \u00e7al\u0131\u015fma veya ders \u00e7al\u0131\u015fma yerini herkesin g\u00f6rmesine olanak sa\u011fl\u0131yor. Bu bilgiyi kullanarak, sosyal medya hesaplar\u0131n\u0131 bulup ger\u00e7ek isimlerini bulmak m\u00fcmk\u00fcn. \u00d6zellikle Happn sunucu ile veri al\u0131\u015fveri\u015fi i\u00e7in Facebook hesaplar\u0131n\u0131 kullan\u0131yor. \u00c7ok az \u00e7abayla herkes Happn kullan\u0131c\u0131lar\u0131n\u0131n isimlerini ve soy isimlerini ve di\u011fer bilgileri Facebook profillerinden bulabilirler.<\/p>\n

Ve birisi Paktor y\u00fckl\u00fc ki\u015fisel bir cihazdan ak\u0131\u015f\u0131 keserse, di\u011fer uygulama kullan\u0131c\u0131lar\u0131n\u0131n e-posta adreslerini g\u00f6rebildiklerini \u00f6\u011frendiklerine \u015fa\u015f\u0131rabilirler.<\/p>\n

G\u00f6r\u00fcnen o ki Happn ve Paktor kullan\u0131c\u0131lar\u0131n\u0131n di\u011fer sosyal medya uygulamalar\u0131ndaki kimliklerinin saptanmas\u0131 %100 oran\u0131nda m\u00fcmk\u00fcn, bu konudaki ba\u015far\u0131 oran\u0131 Tinder i\u00e7in %60, Bumble i\u00e7in ise %50\u2019dir.<\/p>\n

2. Tehdit \u2013 Neredesiniz?<\/h2>\n

Bir ki\u015fi nerede oldu\u011funuzu bilmek istedi\u011finde, dokuz uygulaman\u0131n alt\u0131s\u0131 bu ki\u015fiye yard\u0131mc\u0131 olacakt\u0131r. Yaln\u0131zca OkCupid, Bumble ve Badoo kullan\u0131c\u0131n\u0131n yerini bildiren veriyi kilit alt\u0131nda tutuyor. Di\u011fer t\u00fcm uygulamalar sizinle ilgilendi\u011finiz ki\u015fi aras\u0131ndaki mesafeyi g\u00f6stermektedir. Gezinerek ve aran\u0131zdaki mesafeyle ilgili veriye bakarak \u201cav\u0131n\u201d tam yerini bulmak m\u00fcmk\u00fcn.<\/p>\n

Happn di\u011fer kullan\u0131c\u0131 ile aran\u0131zda ka\u00e7 metre oldu\u011funu g\u00f6stermenin yan\u0131 s\u0131ra, yollar\u0131n\u0131z\u0131n ka\u00e7 kez kesi\u015fti\u011fini de g\u00f6stererek ki\u015fiyi takip etmeyi daha kolay hale getirir. Bunun uygulaman\u0131n temel \u00f6zelli\u011fi olmas\u0131, bu \u00f6zelli\u011fi saptamam\u0131z kadar \u015fa\u015f\u0131rt\u0131c\u0131.<\/p>\n

3. Tehdit \u2013 Korumas\u0131z veri aktar\u0131m\u0131<\/h2>\n

\u00c7o\u011fu uygulama veriyi sunucuya SSL-\u015fifreleme kanal\u0131 \u00fczerinden aktar\u0131r, ancak istisnalar da mevcuttur.<\/p>\n

Ara\u015ft\u0131rmac\u0131lar\u0131m\u0131z\u0131n bulgular\u0131na g\u00f6re bu konudaki en g\u00fcvenli olmayan uygulama Mamba. Android s\u00fcr\u00fcmde kullan\u0131lan analitik mod\u00fcl cihaz hakk\u0131ndaki veriyi (model, seri numaras\u0131 vb.) \u015fifrelemiyor ve iOS s\u00fcr\u00fcm\u00fc de sunucuya HTTP \u00fczerinden ba\u011flan\u0131yor ve iletiler dahil, t\u00fcm veriyi \u015fifrelemeden (yani korumas\u0131z olarak) aktar\u0131yor. Bu t\u00fcr veriler yaln\u0131zca g\u00f6r\u00fcnt\u00fclenebilir de\u011fildir, ayr\u0131ca de\u011fi\u015ftirilebilir de. \u00d6rne\u011fin, \u00fc\u00e7\u00fcnc\u00fc bir \u015fah\u0131s \u201cNas\u0131l gidiyor?\u201d sorusunu bir para g\u00f6nderim iste\u011fine \u00e7evirebilir.<\/p>\n

Mamba g\u00fcvenli olmayan bir ba\u011flant\u0131 ile ba\u015fkas\u0131n\u0131n hesab\u0131n\u0131 y\u00f6netmenizi sa\u011flayan tek uygulama de\u011fil. Zoosk da \u00f6yle. Ancak, ara\u015ft\u0131rmac\u0131lar\u0131m\u0131z Zooks\u2019un verisini yaln\u0131zca yeni foto\u011fraf veya video y\u00fcklerken kesebildiler \u2013 ve bildirimimiz \u00fczerine, geli\u015ftiriciler sorunu \u00e7\u00f6zd\u00fc.<\/p>\n

Tinder, Paktor, Android i\u00e7in Bumble, ve iOS i\u00e7in Badoo da foto\u011fraflar\u0131 sald\u0131rgan\u0131n potansiyel kurban\u0131n\u0131n hangi profillere g\u00f6z atmas\u0131na izin veren HTTP ile y\u00fckl\u00fcyor.<\/p>\n

Paktor, Badoo, ve Zoosk\u2019un Android s\u00fcr\u00fcmlerini kullan\u0131rken, di\u011fer ayr\u0131nt\u0131lar \u2014 \u00f6rne\u011fin, GPS verisi ve cihaz bilgisi \u2014 yanl\u0131\u015f ki\u015filerin eline d\u00fc\u015febiliyor.<\/p>\n

4. Tehdit \u2013 Ba\u011flant\u0131y\u0131 izinsiz izleme (MITM) sald\u0131r\u0131s\u0131<\/h2>\n

Neredeyse t\u00fcm \u00e7evrimi\u00e7i fl\u00f6rt uygulamalar\u0131 HTTPS protokol\u00fcn\u00fc kullan\u0131yor, bu da ki\u015finin yetki sertifikas\u0131n\u0131 kontrol ederek kurban\u0131n i\u015flemlerinin istenen ki\u015fiye giderken doland\u0131r\u0131c\u0131 bir sunucuya gitti\u011fi MITM<\/a> sald\u0131r\u0131lar\u0131ndan korunabilece\u011fi anlam\u0131na geliyor. Ara\u015ft\u0131rmac\u0131lar uygulamalar\u0131n asl\u0131na uygunlu\u011funu kontrol edip etmedi\u011fini bulmak i\u00e7in sahte bir sertifika d\u00fczenledi; e\u011fer yapmasalard\u0131 di\u011fer insanlar\u0131n i\u015flemlerine casusluk yapma imkan\u0131 bulacaklar\u0131d\u0131.<\/p>\n

Sonu\u00e7 olarak \u00e7o\u011fu uygulaman\u0131n (dokuz uygulaman\u0131n be\u015fi) sertifikalar\u0131n asl\u0131na uygunlu\u011funu do\u011frulamad\u0131klar\u0131ndan dolay\u0131 MITM sald\u0131r\u0131lar\u0131na kar\u015f\u0131 savunmas\u0131z oldu\u011fu ortaya \u00e7\u0131kt\u0131. Ve uygulamalar\u0131n neredeyse t\u00fcm\u00fc Facebook arac\u0131l\u0131\u011f\u0131yla yetkilendirme yap\u0131yor, yani sertifika do\u011frulama eksikli\u011fi ge\u00e7ici yetkilendirme anahtar\u0131n\u0131n dizgecik \u015feklinde \u00e7al\u0131nmas\u0131na yol a\u00e7abilir. Dizgecikler 2 \u2013 3 hafta boyunca ge\u00e7erlidir, bu s\u00fcre boyunca su\u00e7lular kurban\u0131n fl\u00f6rt uygulamas\u0131ndaki profiline tam eri\u015fim sa\u011flamalar\u0131n\u0131n yan\u0131 s\u0131ra sosyal medya hesab\u0131 verilerinin baz\u0131lar\u0131na da eri\u015fim sa\u011flar.<\/p>\n

5. Tehdit \u2013 S\u00fcper Kullan\u0131c\u0131 Haklar\u0131<\/h2>\n

Uygulama cihazda hangi t\u00fcr veri depolarsa depolas\u0131n, bu t\u00fcr veriler ayr\u0131cal\u0131kl\u0131 kullan\u0131c\u0131 haklar\u0131 ile eri\u015filebilir verilerdir. Bu yaln\u0131zca Andoid kurulu cihazlar\u0131 ilgilendirir, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n iOS\u2019ta \u00fcst kullan\u0131c\u0131 eri\u015fimi sa\u011flamas\u0131 \u00e7ok nadirdir.<\/p>\n

Analizlerin sonucu hi\u00e7 umut verici de\u011fil: Android i\u00e7in olan dokuz uygulaman\u0131n sekizi ayr\u0131cal\u0131kl\u0131 kullan\u0131c\u0131 haklar\u0131yla siber su\u00e7lulara \u00e7ok fazla bilgi sa\u011flamaya haz\u0131r. \u015e\u00f6yle ki ara\u015ft\u0131rmac\u0131lar s\u00f6z konusu olan t\u00fcm uygulamalarda sosyal medyada kullanmak \u00fczere yetkilendirme dizgecikleri almay\u0131 ba\u015fard\u0131. Kimlik bilgileri \u015fifrelenmi\u015fti, ancak \u015fifre \u00e7\u00f6zme anahtar\u0131 uygulaman\u0131n kendisinden kolayl\u0131kla \u00e7\u0131kart\u0131labiliyordu.<\/p>\n

Tinder, Bumble, OkCupid, Badoo, Happn ve Paktor ileti ge\u00e7mi\u015fini ve kullan\u0131c\u0131 foto\u011fraflar\u0131n\u0131 dizgecikleri ile birlikte depolar. Bu y\u00fczden ayr\u0131cal\u0131kl\u0131 kullan\u0131c\u0131 eri\u015fim imtiyazlar\u0131na sahip ki\u015fi kolayl\u0131kla gizli bilgilere ula\u015fabilir.<\/p>\n

Sonu\u00e7<\/h2>\n

Ara\u015ft\u0131rma \u00e7o\u011fu fl\u00f6rt uygulamas\u0131n\u0131n kullan\u0131c\u0131lar\u0131n gizli verilerini yeterli kadar \u00f6zenle korumad\u0131\u011f\u0131n\u0131 g\u00f6stermi\u015ftir. Bu, uygulamalar\u0131 kullanmaman\u0131z i\u00e7in bir sebep de\u011fil \u2013 sadece sorunlar\u0131 anlaman\u0131z ve m\u00fcmk\u00fcn olan yerde riskleri en aza indirmeniz gerekiyor.<\/p>\n

Yap\u0131lmas\u0131 Gerekenler:<\/h2>\n