Uygulama İndirirken Nelere Dikkat Etmeliyiz
Tüm kişisel bilgilerimizin yer aldığı mobil cihazlara, hoşumuza giden her uygulamayı indiriyoruz. Uygulamaların izin taleplerine “evet” demeden önce bir kere daha düşünün. Uzmanlar uygulama indirirken nelere dikkat etmemiz gerektiğini anlattı…
İçeriğe Ait Başlıklar
Uygulama İndirirken Dikkat
AKILLI telefonlar, sadece iletişim aracı olmanın çok ötesine geçti. Cihazlar, kredi kartı bilgileri, fotoğraflar, lokasyon, web gezinme bilgileri, wi-fi bağlantı geçmişi ve oturum açma şifreleri gibi önemli verileri barındırıyor. Tüm bu veriler, siber suçluların iştahını kabartıyor. Akıllı telefonlar için birbiri ardına çıkan mobil uygulamalar çeşitli yetkiler veya dosyalarınıza erişim hakkı vermeniz için sizden izin istiyor. Çoğu zaman bu izinler uygulamanın amacına uygundur. Örneğin bir harita uygulamasının konum bilgilerinize ulaşma talebinde bulunması normal. Ancak bazı uygulamalar ihtiyacı olmadığı halde kişi listenize, kameranıza ya da mikrofonunuza erişmek isteyebiliyor. Başka birinin telefon rehberinde nasıl kayıtlı olduğunuzu ya da Instagram’da profilinizi kimlerin ziyaret ettiğini öğrenme merakıyla bazı uygulamalar kullanabiliyoruz.
Unutmamalı ki, bir uygulama kendisi için gereksiz gözüken bir veri istiyorsa büyük ihtimalle ou bilgileri üçüncü bir kişi veya şirkete satacak demektir. Mesela uzunluk ölçmek için indirdiğiniz bir uygulama, kişi listenize ulaşmak için izin istememeli. Bu şekilde kullanıcıların detaylı dijital profilleri oluşturulabilir. Örneğin bir kişinin bir uygulamaya konum bilgisine erişebilmesi başka bir uygulamaya kişi listesine erişebilmesi için izin verdiğini düşünelim. Bunlar başka uygulamalara ait tamamen ayrı izinler olsa da, eğer iki uygulama da aynı üçüncü partiyle bu verileri paylaşıyorsa detaylı bir dijital profilinizi oluşturmaları mümkün olacaktır.
“Kime Benzediğini Gör” ya da “Seni Kim Aramış” gibi kullanıcıların büyük ilgi gösterdiği uygulamalar, her ne kadar zararsız gibi dursalar da, kişisel verilerin farklı amaçlarla kullanılması hatta siber dolandırıcılığa kadar uzanan riskleri de beraberinde getiriyor. Mobil uygulamaların takip özellikleri de kullanıcılar için özellikle endişe kaynağı haline geldi. Çoğu kullanıcı, uygulamaların kendisini takip edip izlemesinden veya verilerini paylaşmasından korkuyor. Peki, hoşumuza giden her uygulamayı telefona indirmeye devam edersek başımıza neler gelir? Uygulama indirirken nelere dikkat etmeli?
YÜZDE 83’Ü HASSAS VERİYE ULAŞIYOR
Kaspcrsky Lab araştırmalarına göre, 2018 Türkiye’de kullanıcıların yüzde 57’si konum bilgilerini uygulamalarla paylaşmak istemiyor. 2016’da yüzde 42 olan bu oranın artması dikkat çekiyor. Kullanıcıların yüzde 56’sı ise cihazlarında yaptıkları veya izledikleri şeylerin başkaları tarafından görülüyor olma ihtimalinden, yüzde 54’ü ise coğrafi konum bilgilerinin takibe alınmasından korkuyor. Peki bu korkular yersiz mi?
Kaspersky Lab uzmanları, uygulamaların yalnızca konum, kişi listesi bilgileri ve faaliyetler gibi verilere erişmekle kalmayıp, çoğu zaman kullanıcıların bilgisi dışında arka planda da çalıştıklarım tespit etmiş. Son araştırmalara göre, Andıoid uygulamalarının yüzde 83’ü kullanıcıların hassas verilerine erişiyor, yüzde 96’sı ise kullanıcı rızası olmadan da çalışabiliyor. Tüm endişelere rağmen kullanıcıların neredeyse yarısı, Android ve iOS cihazlarına ön yüklü olarak gelen mobil uygulamaların izinlerini kontrol bile etmiyor. Kullanıcıların yüzde 10’u ise mobil cihazlarına yeni uygulamalar indirip kurarken izinlere bakmıyor. Bu nedenle potansiyel veri sızıntılarına karşı korumasız kalıyor.
ARAÇ PAYLAŞIM UYGULAMALARI
Rusya, ABD ve Avrupa ülkeleri dahil olmak üzere tüm dünyada birer milyondan fazla indirilen 13 araç paylaşım uygulamasını inceleyen Kaspersky Lab araştırmacıları, uygulamaların tümünde suçluların paylaşılan araçların kontrolünü gizlice ele geçirmesine imkan tanıyan bir dizi güvenlik sorunu tespit etmiş. Uygulama üzerinden erişim sağlayan bir suçlu, araç bilgilerini çalabiliyor. Paylaşım uygulamaları birçok hizmetin maliyetini düşürse de, güvenlik açıkları nedeniyle astarı yüzünden pahalıya gelebiliyor. Bir kullanıcı yasal bir uygulamaya girdiğini düşünürken, trafik siber saldırganın sitesine yönlendirilebiliyor. Saldırganlar bu şekilde kurbanın giriş, parola, PIN gibi kişisel verilerini toplayabiliyor.
Suçlular uygulamanın nasıl çalıştığım anlayıp sunucu altyapısına erişim imkanı veren açıklar bulabiliyor. Açıklardan sızan bir saldırgan, araçları ücretsiz kullanmak ve kullanıcıları gizlice izlemekten tutun, araçları ve araç bilgilerini çalmaya kadar birçok alanda kontrolü ele alabiliyor. Hatta kullanıcıların kişisel verilerini çalıp, karaborsada satabiliyor. Hatta çaldıkları kimlik bilgileriyle yola çıkıp yasadışı faaliyetlerde bulunabiliyor.
Kaspersky Lab Ürün Pazarlamadan Sorumlu Başkan Yardımcısı Dmitry Aleshin, “Fotoğraf düzenlemekten sosyal medya hesaplarımızı güncellemeye, oyun oynamaktan bir restoranda yer ayırmaya kadar her şey için uygulama kullanıyoruz. Kullanıcılar, uygulamaların internetteki faaliyetlerini takip etmesi konusunda daha uyanık hale gelse de, kendilerini potansiyel sorunlara karşı korumak için önlem almıyor” diyor.
İLGİSİZ İZİN TALEPLERİNE DİKKAT
Uygulamaların kullanıcı deneyimini geliştirmek adı altında, hedefli reklamlar için kullanıcının aslında istemeyeceği verileri topladığını belirten Bitdefender Türkiye Genel Müdürü Barbaros Akkoyunlu, bu verilerin uygulama geliştiricileri ya da reklam şirketleri tarafından depolandığını aktarıyor. Hangi uygulamayı kaç saat kullandığınızdan günde kaç adım attığınıza, nerede fotoğraf çektirdiğinizden sesli ve yazılı mesajlaşmalarınıza kadar pek çok verinin kolaylıkla ele geçirilebi 1 diğine işaret eden Akkoyunlu’ya göre, telefondaki sensörler aracılığıyla telefonun hangi yöne doğru tutulduğu bile tespit edilebiliyor. Akkoyunlu dikkat edilmesi gerekenlerle alakalı olarak şu bilgileri veriyor:
“Eğlenmek için sıkça kullandığımız yüz filtresi uygulamaları, yüz larama özelliklerini kullanma hakkı talep eder. Bu veriyi başka nasıl kullanabileceklerini hiç düşünmeden izni veriyoruz. İzinlerle ilgili çok hassas olmalıyız. Akıllı telefonumuzun gizlilik ayarları kısmına girerek konum servisleri, kişiler, takvimler, anımsatıcılar. fotoğraflar, kamera, mikrofon ve hareket sensörü özelliklerini tek tek incelemeliyiz ve hangi uygulamaya hangi izinleri vereceğimizi kendimiz belirlemeliyiz. Örneğin, bir el feneri uygulamasının, SMS mesajlarınıza asla erişmesi gerekmez. Eğer bu erişimi istiyorsa durup düşünmeliyiz. Mesela Uber’in kullanıcılarını araçtan indikten beş dakika sonraya kadar takip ettiği geçtiğimiz yıl ortaya çıkmıştı. Tepkinin ardından Uber bu uygulamayı değiştirdiğini iddia etse dc halihazırda kaydedilmiş verilerin nc olacağı açıklanmamıştı. Uygulamaları sürekli açık tutmamak ve uygulamanın arka plandaki hareketlerini incelemek gibi önlemler almak faydalı olacaktır.”
İLETİŞİMDEKİLER DE TEHDİT ALTINDA
Veri sızıntısına neden olan uygulamalar ile mobil cihazımızda sakladığımız ve başkalarıyla paylaşmayı istemediğimiz doküman, mesaj veya resimlerin bizim iznimiz olmadan üçüncü şahıslar ile paylaşılabildiğini ifade eden WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, “Uygulamayı daha önce kullananların, uygulama mağazalarında yaptıkları yorumları okumanız, ne ile karşı karşıya kalabileceğinizi gösterebilir. Zararlı uygulamalar çoğu zaman karşımıza farklı şekillerde çıkabiliyor. Fidye yazılımları, bankacılık uygulamalarını hedef alan yazılımlar, veri sızıntısına neden olan uygulamalar gibi en bilindik metotlarla bizlerc zarar vermeyi amaçlıyor. Hayatımızı kolaylaştırarak zamanımızı daha keyifli ve verimli geçirmek amacıyla üretildiğini düşündüğümüz mobil uygulamalar, bazı zamanlar arka planda bizim pek farkında olmadığımız birçok bilgiye ulaşıyor ve bu bilgileri kullanarak bizlere karşı veya bizim üzerimizden iletişimde olduğumuz kişilere karşı birer tehdit haline geliyor” diyor.
TİCARET VE İSTİHBARAT İÇİN
Özellikle Jailbreak gibi telefonlar üzerinde çalışan mobil uygulamaları kırmaya ve erişmeye yönelik yapılan saldırıların, ters mühendislik ve katman atakları ile denenmekte olup, kişisel verilerin ve finansal kaynakların ele geçirilmesi hedefini taşıdığına işaret eden Komtera Teknoloji Genel Müdür Yardımcısı Ziya Gökalp şunları aktarıyor:
“Bankacılıktan sigortacılığa, mesajlaşmadan fotoğraf paylaşımına, profesyonel iş ağı uygulamalarından sosyal medyaya, online alışverişten eğitime, sanal oyunlardan sanal para uygulamalarına, gazete ve dergi abonelik uygulamalarına kadar on binlerce farklı uygulama kullanıyoruz. Firmaların kendi faaliyet alanları konusunda sundukları mobil uygulamaların varlığı kadar dolandırıcılık amaçlı üretilmiş uygulamaların da varlığından söz etmek mümkün. Günümüzde mobil uygulamaların, kullanım amaçlarının ötesinde son kullanıcıdan topladığı verileri mikro düzeyde analiz ederek üçüncü parti firmalar ile paylaştığı şüphe götürmeyen bir gerçek halini almıştır. Mobil uygulamaları kullanan kullanıcılara ait davranışsal faaliyetler, tüketim alışkanlıkları ve siyasi eğilimler, demografik ve etnik kökene dair veriler, sağlık ve özel yaşam hakkında toplanan bilgiler bir başka kurum ve kuruluş ile ticari ve hatta istihbari anlamda paylaşıla-bıliyor.”
“BENİM VERİMİ NE YAPSINLAR?”
Trend Micro Akdeniz Ülkeleri ve İsrail Genel Müdürü Yakup Börekcioğlu’na göre, kullanıcıların uygulamaları yüklemeden önce “Facebook Bilgilerim ile Üye Ol” ya da “Mail Adresi-Telefon Numaram ile Üye Ol” seçeneğini işaretlemeleri ile beraber veri akışı başlıyor. Kaynağı belli olmayan uygulamaları indirdikten sonra soyadınız, kullanıcı isminiz, cinsiyetiniz, hangi ağa bağlı olduğunuz ve profil fotoğrafınız uygulama tarafından otomatik olarak ele geçiriliyor. Kullanıcıların önemli bir kısmının “Benim verimi ne yapsınlar” gibi yaklaşımlarla uygulamadaki tüm taleplere izin verdiğini belirten Börekcioğlu, bu durumun kişisel verilerin üçüncü şahıslar ve şirketlerle paylaşılmasının yolunu açtığına işaret ediyor. Börekcioğlu’na göre elde edilen veriler, daha geniş bir veri havuzunda toplanırken, bir yandan da “kullanıcı davranış” analizi için kullanılıyor. Bu durum da kullanıcıların kendi onayları ile markalar, siyasi partiler ve benzeri oluşumlar tarafından maııipüle edilmelerine neden oluyor.
Nelere dikkat etmeli?
■ Wi-Fi ağlarını kontrol edin: Halka açık wi-fi ağlarını minimum risk ile kullanmanın yöntemleri var. Örneğin wi-fı adının gerçek olduğunu çalışanlardan birine sorarak kontrol edin.
Akıllı telefonunuzun paylaşım özelliklerinin kapalı olduğundan emin olun ve bu tür açık ağlarda bankacılık uygulamaları kullanmayın.
■ Uygulamalarınızı kontrol edin: Uygulamaları kullanmadığınızda wi-fi ve bluetooth özelliklerini devre dışı bırakın. Ayarlarınızdan konum hizmetlerini de kapatabilirsiniz en azından nerede olduğunuz bilinmez. Cihaz ayarlarını değiştirin. Ayarlar kısmındaki gizlilik özelliğini inceleyebilirsiniz. 0 sıralar kullanmadığınız uygulamaların veri kaydetme izinlerini geçici olarak kapatabilirsiniz.
■ Okumaya üşenmeyin: Uygulamanın bir güvenlik sözleşmesi olduğuna emin olun. İndirirken önünüze çıkan uzun madde listesini okumaya üşenmeyin. Okumasanız bile en azından gizliliğe dair kuralları olduğuna emin olun.
■ Kullanmadıklarınızı silin: Uygulamaları düzenli olarak güncelleyin ve kullanmadığınız uygulamaları silin. Yeni gelen sürümlerdeki izinleri kontrol edin. Güncellemeler genelde yeni güvenlik özellikleri ve geliştirmeleri ile gelebilir ancak eskisinden değişik tipte verilere erişim istemeye başlayabilirler, dikkatli olun.
■ Mobil güvenlik yazılımı kullanın: Bilgisayarınızı bir anitivirüs ya da internet güvenliği yazılımıyla nasıl koruyorsanız, akıllı telefonunuzu da güncel ve proaktif bir mobil güvenlik yazılımıyla öyle koruyun.
Popüler sızma yöntemleri
Siber güvenlik şirketi Eset, siber suçluların telefonunuza sızmak için kullandıkları yöntemleri şöyle sıralıyor…
■ Google Play Store’daki uygulamaların kullanılması: Resmi Google mağazasında kötü amaçlı yazılımlara her zaman rastlanabilir. Siber suçlular için kötü amaçlı uygulamalarını, gerçek uygulamaların satıldığı ortamlara gizlice sokmak, potansiyel kurbanlara ulaşmanın en garanti yoludur. Zararlı yazılımı bir uygulama ya da oyun versiyonuymuş gibi gösterme yöntemi, aniden popülerlik kazanmış, yayınlanma tarihi belirlenmiş veya bazı ülkelerde satışa sunulmayan uygulamaları esas alır.
■ Tapjacking yöntemi ve paylaşımlı pencereler: Tapjacking, iki ekranlı sahte bir uygulama görüntüleyerek kullanıcının ekran görüntülerini yakalamayı amaçlayan bir tekniktir. Bu nedenle kurbanlar, gördükleri uygulamaya tıkladıklarını düşünürken aslında görünmeyen bir uygulamaya yönlendiriliyorlar. Android’de kimlik hırsızlığı için, casus yazılımlarda yaygın olarak kullanılan bir başka benzer strateji ise, yer paylaşımlı pencerelerdir. Bu aldatmacada kötü amaçlı yazılım, kullanıcının kullandığı uygulamayı sürekli olarak izler ve belirli bir meşru uygulamaya rastladığında, meşru uygulama gibi görünen ve kullanıcıdan kimlik bilgileri isteyen kendi iletişim kutularını görüntüler.
■ Sistem uygulamaları arasında kamuflaj: Şimdiye kadar kötü amaçlı kodun bir cihazda saklanmasının en kolay yolu, bir sistem uygulaması şeklinde konumlanarak bunu fark edilmeden olabildiğince sürdürmekti. Yükleme bittiğinde uygulama simgesini silmek veya sistem uygulamalarının adlarını, paketlerini, simgelerini ve diğer popüler uygulamaları bir aygıtın güvenliğini aşmak amacıyla kullanmak, Adobe Flash Player ile kimlik bilgilerini çalmak amacıyla ortaya çıkan bankacılık Truva atınınkine benzer stratejilerdir.
■ Sistem ve güvenlik uygulamalarını taklit etmek: Android, uygulama izinlerini sınırlayacak şekilde yapılandırıldığından, kötü amaçlı kodların çoğunun, işlevselliklerini doğru bir şekilde uygulayabilmek için yönetici izinleri talep etmesi gerekir. Ve bu izni vermek kötü amaçlı yazılımı kaldırmayı daha da zorlaştırır.
■ Gerçek verileri taklit eden güvenlik sertifikaları kullanmak: Bir APK’nın (Android Package Kit) imzalanması için kullanılan güvenlik sertifikası, bir uygulamanın değiştirilip değiştirilmediğini belirlemek için de kullanılabilir. Çoğu siber suçlu, bir sertifika vermek için genel metin dizgileri kullanırken, birçoğu ise geliştiricinin kullandığı verilere karşılık gelen veriyi feda etme yoluna giderek, bu kontrolleri gerçekleştiren kullanıcıların kafalarını daha çok karıştırmayı başarıyor.
■ Aynı koddaki çoklu işlevler: Mobil dünyada son yıllarda giderek artan bir trend, farklı türdeki kötü amaçlı yazılımların tek bir uygulamayla birleştirilmesidir. Bunun bir örneği olan LokiBot, bir aygıttan bilgi çalmak için mümkün olduğunca uzun süre fark edilmeden arka planda çalışan bir bankacılık Truva atıdır. Ancak kullanıcı, programı silmek veya kaldırmak için yönetici izinlerini kaldırmaya çalışırsa, uygulama ransomvvare özelliğini etkinleştirerek aygıttaki dosyaları şifreler.
■ Gizli uygulamalar: Kopyalama ve yükleme araçlarının kullanımı, yani başka bir APK’nın içine kötü amaçlı kod gömmek veya internetten indirmek, kötü amaçlı mobil kod yazarları tarafından da evrensel olarak kullanılan bir stratejidir. Google Bouncer olarak da bilinen uygulama (şimdi Google Play Protect olarak yeniden adlandırıldı], siber suçluların resmi mağazaya kötü amaçlı yazılım yükleme imkanını zorlaştırdığından saldırganlar bu tür davranışları kontrol etmeyi seçtiler ve işe de yaradı.
■ Sinerjik kötü amaçlı yazılım: Bir örneğin analizini karmaşıklaştırmanın bir alternatifi, kötü amaçlı işlevselliği birbiriyle etkileşime girebilen bir dizi uygulamaya bölmektir.
Bu şekilde, her uygulama bir izinler ve kötü niyetli işlevsellik alt kümesine sahip olur ve bunlar daha sonra başka bir amacı yerine getirmek için birbirleriyle etkileşir. Dahası, analistlerin kötü amaçlı yazılımın gerçek işlevini anlamaları için, tüm bireysel uygulamalara, bir yapbozun parçalarıymış gibi erişebilmeleri gereklidir.
■ Gizli kanallar ve yeni iletişim mekanizmaları: Bir C&C (komuta ve kontrol) sunucusu veya diğer kötü amaçlı uygulamalar ile iletişim kurmak için, kötü amaçlı yazılımların bilgi aktarması gereklidir. Bu, geleneksel açık kanallar veya gizli kanallar (kişiselleştirilmiş iletişim protokolleri, parlaklık yoğunluğu, uyku modu kilitleri, CPU kullanımı, bellekteki boş alan, ses veya titreşim seviyeleri ve hızölçerler] yoluyla yapılabilir. Ayrıca son aylarda siber suçluların, Twitter hesaplarını kullanarak komutları göndermek amacıyla kullandığı Tvvitoor gibi CSC iletilerini aktarmak için sosyal ağları nasıl kullandıklarını gördük.
Kaan BİNGÖL / Inomera Kurumsal Uygulamalar Yönetici Direktörü
“Yönetmelikte eksik var”
Uygulamanın hangi izinleri istediğine dikkat edilmeli. Çünkü verdiğiniz izinler kadar veri toplayıp işleyebilirler. Mesela size bildirim gönderme izni bir risk teşkil etmeyebilir ama lokasyon izni verirken iyi düşünülmeli. Sizin nerelerde gezdiğinizi hangi mağazaların önünden geçtiğinizi izleyebiliyorlar.
Amaç sizi daha iyi anlayarak ona göre reklam yapmak. KVKK kapsamında bir uygulamanın yasal olarak size ait hangi bilgileri ne amaçla topladığını açıklaması gerekiyor. Ancak henüz bunu takip edecek bir kurum yok.
Sertaç TAŞDELEN / Faladdin ve Binnaz Abla Uygulamalarının Kurucusu
“Paravan uygulamalara karşı uyanık olun”
Bir uygulamayı indirmeden önce mutlaka yapımcı şirket incelenmeli. Şirketin başka uygulamaları da var mı, güvenilir bir şirket mi diye web sitesinden bakılmalı. Uygulamanın altında yazan yorumlar okunmalı.
Mesela bir site 2 bin TL’ye sizi umreye göndereceğini iddia ediyorsa bir oturup düşünürsünüz değil mi? Aynı hassasiyeti [uygulamalar için de göstermelisiniz, îöylece paravan ^uygulamalara karşı uyanık olursunuz. Özellikle rehbere ulaşma izni isteyen uygulamalara karşı dikkatli olmalısınız. Rehberinize ulaşmaya ihtiyacı var mı yok mu düşünmelisiniz. Aksi halde çevrenizi de riske atabilirsiniz.
Erkan TUGRAL / Eset Türkiye Teknik Müdürü
“İznin kime verildiği önemli”
Kullanıcılar resmi uygulama dükkanları olan Appstore ve Google Play dışında herhangi bir içeriği, crack’li ya da ücretsiz olarak mobil cihazlarına indirip kurmamalı. Özelde Android’de Google Play’den indirilen uygulamalar için bile, indirilme sayısı, üretici bilgileri, kullanıcı yorumları ve istediği izinler dikkatlice okunup kontrol edilmeli. Uygulama kurulurken istediği izinlere göre pek çok verimize erişebilir. Telefonun kamerası, mikrofonu, depolama birimleri ve belleğinde yer alan verilere erişim izni alabilir. O nedenle kime hangi izni verdiğimize çok dikkat etmeliyiz. Bazı güvenlik uygulamaları, telefon rehber paylaşım uygulamaları, fotoğraf paylaşım uygulamaları, bankacılık uygulamaları en çok istismar edilen uygulamaların başında geliyor.
Ürün Dirier
