Arkadaşlık uygulamaları güvenli mi?

Çevrimiçi kısmet arama — uzun süreli veya tek gecelik bir ilişki olabilir — bir süredir oldukça yaygın. Arkadaşlık – Flört uygulamaları artık günlük hayatımızın bir parçası. Bu tarz uygulamaların kullanıcıları ideal partnerlerini bulmak için isimlerini, mesleklerini, çalıştıkları yeri, takıldıkları yerleri ve çok daha fazlasını paylaşmaya hazırlar. Flört uygulamalarında bazen çıplak fotoğrafların da dahil olduğu çok mahrem şeyler paylaşılıyor. Peki bu uygulamalar böyle verileri nasıl dikkatli bir şekilde kullanıyor? Kaspersky Lab bunları güvenlik adımlarına tabi tutmaya karar verdi.

Çevrimiçi kısmet arama — uzun süreli veya tek gecelik bir ilişki olabilir — bir süredir oldukça yaygın. Arkadaşlık – Flört uygulamaları artık günlük hayatımızın bir parçası. Bu tarz uygulamaların kullanıcıları ideal partnerlerini bulmak için isimlerini, mesleklerini, çalıştıkları yeri, takıldıkları yerleri ve çok daha fazlasını paylaşmaya hazırlar. Flört uygulamalarında bazen çıplak fotoğrafların da dahil olduğu çok mahrem şeyler paylaşılıyor. Peki bu uygulamalar böyle verileri nasıl dikkatli bir şekilde kullanıyor? Kaspersky Lab bunları güvenlik adımlarına tabi tutmaya karar verdi.

Uzmanlarımız en popüler mobil flört uygulamaları üzerinde çalıştı (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor) ve kullanıcılar için ana tehditleri belirledi. Geliştiricileri tespit edilen tüm hassasiyetlere karşı önceden bilgilendirdik ve bu metin yayınlanana kadar bazıları çoktan onarılmıştı ve diğerlerinin yakın gelecekte düzeltilmesi planlanıyordu. Bununla birlikte, her geliştirici tüm kusurları düzeltme sözünü vermedi.

1. Tehdit – Kimsiniz?

Araştırmacılarımız, inceledikleri dokuz uygulamanın dördünün kullanıcılar tarafından verilen bilgilere dayalı olarak bir takma adın arkasında kimin olduğunu potansiyel suçluların tespit etmesini sağladığını keşfettiler. Örneğin, Tinder, Happn, ve Bumble bir kullanıcının belirtilen çalışma veya ders çalışma yerini herkesin görmesine olanak sağlıyor. Bu bilgiyi kullanarak, sosyal medya hesaplarını bulup gerçek isimlerini bulmak mümkün. Özellikle Happn sunucu ile veri alışverişi için Facebook hesaplarını kullanıyor. Çok az çabayla herkes Happn kullanıcılarının isimlerini ve soy isimlerini ve diğer bilgileri Facebook profillerinden bulabilirler.

Ve birisi Paktor yüklü kişisel bir cihazdan akışı keserse, diğer uygulama kullanıcılarının e-posta adreslerini görebildiklerini öğrendiklerine şaşırabilirler.

Görünen o ki Happn ve Paktor kullanıcılarının diğer sosyal medya uygulamalarındaki kimliklerinin saptanması %100 oranında mümkün, bu konudaki başarı oranı Tinder için %60, Bumble için ise %50’dir.

2. Tehdit – Neredesiniz?

Bir kişi nerede olduğunuzu bilmek istediğinde, dokuz uygulamanın altısı bu kişiye yardımcı olacaktır. Yalnızca OkCupid, Bumble ve Badoo kullanıcının yerini bildiren veriyi kilit altında tutuyor. Diğer tüm uygulamalar sizinle ilgilendiğiniz kişi arasındaki mesafeyi göstermektedir. Gezinerek ve aranızdaki mesafeyle ilgili veriye bakarak “avın” tam yerini bulmak mümkün.

Happn diğer kullanıcı ile aranızda kaç metre olduğunu göstermenin yanı sıra, yollarınızın kaç kez kesiştiğini de göstererek kişiyi takip etmeyi daha kolay hale getirir. Bunun uygulamanın temel özelliği olması, bu özelliği saptamamız kadar şaşırtıcı.

3. Tehdit – Korumasız veri aktarımı

Çoğu uygulama veriyi sunucuya SSL-şifreleme kanalı üzerinden aktarır, ancak istisnalar da mevcuttur.

Araştırmacılarımızın bulgularına göre bu konudaki en güvenli olmayan uygulama Mamba. Android sürümde kullanılan analitik modül cihaz hakkındaki veriyi (model, seri numarası vb.) şifrelemiyor ve iOS sürümü de sunucuya HTTP üzerinden bağlanıyor ve iletiler dahil, tüm veriyi şifrelemeden (yani korumasız olarak) aktarıyor. Bu tür veriler yalnızca görüntülenebilir değildir, ayrıca değiştirilebilir de. Örneğin, üçüncü bir şahıs “Nasıl gidiyor?” sorusunu bir para gönderim isteğine çevirebilir.

Mamba güvenli olmayan bir bağlantı ile başkasının hesabını yönetmenizi sağlayan tek uygulama değil. Zoosk da öyle. Ancak, araştırmacılarımız Zooks’un verisini yalnızca yeni fotoğraf veya video yüklerken kesebildiler – ve bildirimimiz üzerine, geliştiriciler sorunu çözdü.

Tinder, Paktor, Android için Bumble, ve iOS için Badoo da fotoğrafları saldırganın potansiyel kurbanının hangi profillere göz atmasına izin veren HTTP ile yüklüyor.

Paktor, Badoo, ve Zoosk’un Android sürümlerini kullanırken, diğer ayrıntılar — örneğin, GPS verisi ve cihaz bilgisi — yanlış kişilerin eline düşebiliyor.

4. Tehdit – Bağlantıyı izinsiz izleme (MITM) saldırısı

Neredeyse tüm çevrimiçi flört uygulamaları HTTPS protokolünü kullanıyor, bu da kişinin yetki sertifikasını kontrol ederek kurbanın işlemlerinin istenen kişiye giderken dolandırıcı bir sunucuya gittiği MITM saldırılarından korunabileceği anlamına geliyor. Araştırmacılar uygulamaların aslına uygunluğunu kontrol edip etmediğini bulmak için sahte bir sertifika düzenledi; eğer yapmasalardı diğer insanların işlemlerine casusluk yapma imkanı bulacaklarıdı.

Sonuç olarak çoğu uygulamanın (dokuz uygulamanın beşi) sertifikaların aslına uygunluğunu doğrulamadıklarından dolayı MITM saldırılarına karşı savunmasız olduğu ortaya çıktı. Ve uygulamaların neredeyse tümü Facebook aracılığıyla yetkilendirme yapıyor, yani sertifika doğrulama eksikliği geçici yetkilendirme anahtarının dizgecik şeklinde çalınmasına yol açabilir. Dizgecikler 2 – 3 hafta boyunca geçerlidir, bu süre boyunca suçlular kurbanın flört uygulamasındaki profiline tam erişim sağlamalarının yanı sıra sosyal medya hesabı verilerinin bazılarına da erişim sağlar.

5. Tehdit – Süper Kullanıcı Hakları

Uygulama cihazda hangi tür veri depolarsa depolasın, bu tür veriler ayrıcalıklı kullanıcı hakları ile erişilebilir verilerdir. Bu yalnızca Andoid kurulu cihazları ilgilendirir, kötü amaçlı yazılımın iOS’ta üst kullanıcı erişimi sağlaması çok nadirdir.

Analizlerin sonucu hiç umut verici değil: Android için olan dokuz uygulamanın sekizi ayrıcalıklı kullanıcı haklarıyla siber suçlulara çok fazla bilgi sağlamaya hazır. Şöyle ki araştırmacılar söz konusu olan tüm uygulamalarda sosyal medyada kullanmak üzere yetkilendirme dizgecikleri almayı başardı. Kimlik bilgileri şifrelenmişti, ancak şifre çözme anahtarı uygulamanın kendisinden kolaylıkla çıkartılabiliyordu.

Tinder, Bumble, OkCupid, Badoo, Happn ve Paktor ileti geçmişini ve kullanıcı fotoğraflarını dizgecikleri ile birlikte depolar. Bu yüzden ayrıcalıklı kullanıcı erişim imtiyazlarına sahip kişi kolaylıkla gizli bilgilere ulaşabilir.

Sonuç

Araştırma çoğu flört uygulamasının kullanıcıların gizli verilerini yeterli kadar özenle korumadığını göstermiştir. Bu, uygulamaları kullanmamanız için bir sebep değil – sadece sorunları anlamanız ve mümkün olan yerde riskleri en aza indirmeniz gerekiyor.

Yapılması Gerekenler:

  • VPN kullanmak;
  • Cihazlarınızın tümüne güvenlik çözümleri yüklemek;
  • Yabancılar ile yalnızca gereken bilgileri paylaşmak.

Yapılmaması Gerekenler:

  • Bir flört uygulamasındaki herkese açık profilinize sosyal medya hesabınızı eklemek; gerçek adınızı, soyadınızı, iş yeri adresinizi vermek;
  • İster kişisel ister iş e-postası olsun, e-posta adresinizi açıklamak;
  • Korumasız Wi-Fi ağlarında flört sitelerini kullanmak.

Mr. Robot dizisinden güvenlik hakkında neler öğrenebiliriz?

Mr. Robot, bilgi güvenliği dünyasından büyüleyici bir manzara sunarak dünya çapında birçok insanın sevgisini kazandı ve hepimizin siber saldırılara karşı ne kadar savunmasız olduğumuzu gösterdi. Ana karakter Elliot ve hacker grubu Fsociety’nin bırakın normal hesapları kocaman şirketleri bile hackleyebildiğini görünce hiçbir yer ve hiçbir şeyin güvenli olmadığı fikrine kapılabilirsiniz.

İpuçları