Çevrimiçi randevulaşma ve güvenlik

Çevrimiçi randevulaşma uygulamaları gizlilik açısından ne kadar güvenli?

Randevulaşma uygulamaları diğer insanlarla tanışıp eğlenmemizi sağlamak için var; kişisel verilerimizi her yere yaymak için değil. Ne yazık ki konu randevulaşma servisleri olduğunda bazı güvenlik ve gizlilik kaygıları ortaya çıkıyor. Kaspersky’de üst düzey kötü amaçlı yazılım analistliği yapan Tatyana Shishkova, MWC21 konferansında çevrimiçi randevulaşma uygulamalarının güvenliği hakkında bir rapor sundu. En popüler çevrimiçi randevulaşma servislerinin gizliliğini ve güvenliğini inceleyerek çıkardığı sonuçları ve kullanıcıların verilerini güvende tutmak için neler yapması gerektiğini tartışıyoruz.

Randevulaşma uygulamalarının güvenliği: Dört yılda neler değişti

Uzmanlarımız birkaç yıl önce de benzer bir çalışma yürütmüştü. 2017’de dokuz popüler servisi araştırdıktan sonra, randevulaşma uygulamalarının hem kullanıcı verilerini güvenli bir şekilde transfer etmek hem de depolamak ve diğer kullanıcıların erişimini yönetmekle ilgili ciddi sorunları olduğu sonucuna ulaştılar. 2017 raporunda açıklanan ana tehditler şunlardı:

  • İncelenen dokuz uygulamadan altısı, kullanıcının konumunu saklamıyordu.
  • Dördü kullanıcının gerçek adını ve diğer sosyal medya hesaplarını bulmayı mümkün kılıyordu.
  • Dördü uygulamanın ilettiği, hassas bilgiler içerebilecek verilere dışarıdan erişime izin veriyordu.

2021’de ne gibi değişiklikler olduğunu görmek istedik. Çalışma, en popüler dokuz randevulaşma uygulamasına odaklandı: Tinder, OKCupid, Badoo, Bumble, Mamba, Pure, Feeld, Happn ve Her. Çevrimiçi randevulaşma pazarı bir miktar değiştiği için liste 2017’den biraz farklı. Bununla birlikte, en çok kullanılan uygulamalar hala dört yıl öncekilerle aynı.

Veri transferi ve depolama güvenliği

Geçtiğimiz dört yıl içerisinde uygulama ile sunucu arasındaki veri transferi durumu ciddi ölçüde iyileşmiş. Birincisi, bu sefer incelediğimiz dokuz uygulama da şifreleme kullanıyor. İkincisi, uygulamaların tamamı sahte sertifika saldırılarına karşı bir mekanizmaya sahip: Uygulama sahte bir sertifika tespit ettiğinde veri transferini durduruyor. Mamba ayrıca bağlantının güvenli olmadığına dair bir uyarı da görüntülüyor.

Kullanıcının cihazında depolanan verilere gelince, potansiyel bir saldırgan hala süper kullanıcı (kök) haklarını ele geçirerek bunlara erişim sağlayabilir. Ancak bu daha az olası bir senaryo. Ayrıca kök erişimi, yanlış ellerde cihazı tamamen savunmasız kılacağı için randevulaşma uygulamasındaki verilerin çalınması, kurbanın dert edeceği en son şeylerden biri.

Parolanın e-postada düz metin olarak gönderilmesi

İncelenen dokuz uygulamadan ikisi, Mamba ve Badoo, yeni kayıt olan kullanıcının parolasını e-posta ile düz metin olarak gönderiyor. Birçok kişi kayıt olur olmaz (hatta hiçbir zaman) parolasını değiştirmediği ve genel olarak e-posta güvenliği konusunda özensiz olduğu için bu iyi bir uygulama değil. Potansiyel bir saldırgan, kullanıcının e-postasını hackleyerek veya gönderilen e-postayı ele geçirerek parolayı öğrenip hesaba erişebilir (tabii randevulaşma uygulamasında iki faktörlü kimlik doğrulama etkinleştirilmediyse).

Tatyana Shishkova’nın MWC21’de sunduğu rapor

 

Zorunlu profil fotoğrafı

Randevulaşma servisleriyle ilgili sorunlardan biri de, kullanıcıların konuşmalarının ya da profillerinin ekran görüntülerinin kötü amaçlarla kullanılabilmesi. Ne yazık ki bu dokuz uygulama arasında yalnızca biri, Pure, fotoğraf eklemeden hesap oluşturmanıza (yani hesabın kolayca size atfedilememesine) izin veriyor. Pure, aynı zamanda ekran görüntüsü almayı da engelliyor. Uygulamalardan bir diğeri olan Mamba ise fotoğraf bulanıklaştırma seçeneği sunarak resimlerinizi sadece seçtiğiniz kullanıcılara gösterebilme olanağı sağlıyor. Diğer bazı uygulamalar da bu özelliği sunuyor, ancak belirli bir ücret karşılığında.

Randevulaşma uygulamaları ve sosyal ağlar

Pure dışındaki bütün uygulamalar, kullanıcıların bir sosyal ağ, çoğunlukla da Facebook aracılığıyla kayıt olmasına izin veriyor. Hatta telefon numarasını uygulama ile paylaşmak istemeyenler için tek seçenek bu. Öte yandan, Facebook hesabınız yeterince “saygın” değilse (örneğin çok yeniyse veya çok az arkadaşınız varsa) sonunda yine de telefon numaranızı paylaşmak zorunda kalıyorsunuz.

Sorun, uygulamaların çoğunun Facebook profil fotoğraflarını kullanıcının yeni hesabına otomatik olarak çekmesi. Bu, fotoğraflar sayesinde bir randevulaşma uygulaması hesabı ile bir sosyal medya hesabı arasında bağlantı kurulabilmesini sağlıyor.

Dahası, pek çok randevulaşma uygulaması, yeni fotoğrafların ve sevilen müziklerin otomatik olarak profile eklenebilmesi için Instagram ve Spotify gibi sosyal ağ bağlantılarını profile eklemeye olanak veriyor, hatta bunu tavsiye ediyor. Bir hesabı başka bir serviste tespit etmenin kesin bir yolu olmasa da randevulaşma uygulaması profillerindeki bilgiler, bir kişiyi başka sitelerde bulmaya kesinlikle yardımcı olabiliyor.

Konum, konum, konum

Randevu uygulamalarının en tartışılan yönü, konumunuzu verme gereksinimi. Araştırdığımız dokuz uygulamadan dördü (Tinder, Bumble, Happn ve Her) coğrafi konum erişimini zorunlu kılıyor. Üçü, kesin koordinatlarınızı manuel olarak genel bölgenizle değiştirmenize izin veriyor; ancak yalnızca ücretli sürümlerinde. Happn’da böyle bir seçenek yok, fakat ücretli sürüm diğer kullanıcılarla aranızdaki mesafeyi gizlemenize olanak tanıyor.

Mamba, Badoo, OkCupid, Pure ve Feeld coğrafi konuma erişimi <em>zorunlu</em> tutmuyor ve ücretsiz sürümde bile konumunuzu manuel olarak belirtmenize izin veriyor. Ancak koordinatlarınızı otomatik olarak belirlemeyi teklif ediyorlar. Özellikle Mamba için coğrafi konum bilgilerinize erişim vermemenizi öneriyoruz, çünkü servis, diğerleriyle aranızdaki mesafeyi bir metreye kadar korkutucu bir doğrulukla belirleyebiliyor.

Genel olarak, kullanıcı uygulamanın yakınlığı göstermesine izin verdiği takdirde çoğu serviste üçgene alma ve konum yanıltma programlarıyla kullanıcının konumunu hesaplamak hiç de zor değil. Coğrafi konum gerektiren randevulaşma uygulamalarından yalnızca ikisi, Tinder ve Bumble, bu tür programların kullanımını engelliyor.

Randevulaşma uygulamalarının en büyük sorunlarından biri, kullanıcı konumunun belirlenebilmesi

 

Çıkarılan sonuçlar

Tamamen teknik bir açıdan bakıldığında, randevulaşma uygulamalarında güvenlik, geçtiğimiz dört yılda önemli ölçüde artmış: Servislerin hepsi artık şifreleme kullanıyor ve bağlantıyı izinsiz izleme saldırılarına karşı dayanıklılar. Uygulamaların çoğunun yazılım hatası bulanlara ödül verme programları var; bu programlar, ürünlerindeki ciddi güvenlik açıklarının yamanmasına yardımcı oluyor.

Ancak gizlilik konusunda her şey bu kadar günlük güneşlik değil: Uygulamalar, kullanıcıları gereğinden fazla şey paylaşmaktan koruma motivasyonuna sahip değil. İnsanlar bilgilerin kötüye kullanılabileceğini veya taciz, veri sızıntısı ve diğer çevrimiçi sıkıntılar gibi olası sonuçları unutarak ya da görmezden gelerek sık sık kendileri hakkında makul olandan daha fazla bilgi paylaşıyor.

Elbette gereğinden fazlasını paylaşma sorunu yalnızca randevulaşma uygulamalarıyla sınırlı kalmıyor; sosyal ağlarda da durum daha parlak değil. Ancak randevulaşma uygulamaları, spesifik özellikleri gereği çoğunlukla kullanıcıları başka yerlerde paylaşmayacakları bilgiler paylaşmaya teşvik ediyor. Dahası, çevrimiçi randevulaşma uygulamaları genellikle kullanıcıların bu verileri tam olarak kimlerle paylaştığı hakkında daha az kontrol sahibi.

Bu yüzden, randevulaşma uygulamalarını (ve diğer uygulamaları) kullanan tüm kullanıcılara ne paylaştıkları hakkında daha dikkatli düşünmelerini tavsiye ediyoruz.

İpuçları