Play Store’da yüz milyondan fazla kişinin yüklediği Go SMS Pro adlı SMS uygulamasında, tüm kullanıcıları etkileyecek bir güvenlik açığı bulundu. Güvenlik firması TrustWave tarafından kamuoyuyla paylaşılan detaylara göre uygulama, kullanıcıların gönderdiği medyaları otomatik olarak herkese açık bir sunucuya yüklüyor.

İlginizi çekebilir: Google Play Store’dan milyonları etkileyen güvenlik açığı!

reklam

Dikkat: Go SMS Pro kullandıysanız, özel verileriniz ifşa olmuş olabilir!

TrustWave firmasında çalışan bir grup güvenlik araştırmacısı, Play Store’da yüz milyondan fazla kişinin yüklemiş olduğu bir üçüncü taraf SMS uygulamasında çok ciddi bir güvenlik açığı bulduklarını duyurdu. Go SMS Pro isimli uygulamada belirlenen güvenlik açığına göre, uygulama kullanıcıların birbirlerine gönderdikleri medyaları otomatikman herkese açık bir sunucuya yüklüyor.

Go SMS Pro, dosyaları herkesin erişebildiği çevrim içi bir sunucuya yükledikten sonra özel bir URL oluşturuyor. Güvenlik araştırmacılarının dahi erişebildiği bu URL vasıtasıyla da tüm kullanıcıların özel verileri ifşa olmuş oluyor. TrustWave araştırmacıları, TechCrunch’a yaptıkları açıklamada söz konusu güvenlik açığıyla alakalı olarak uygulama geliştiricileriyle iletişime geçmeye çalıştıklarını ancak cevap alamadıklarını söyledi.

Araştırmacılar, güvenlik açığının çalışma mantığını ise kısaca şu şekilde izah ediyorlar:

Go SMS Pro’yu kullanan kişi, herhangi biriyle fotoğraf-video paylaşmak isterse, bu paylaşımı Go SMS Pro’yla yapabiliyor. Şöyle ki uygulama, paylaşılan dosyayı, normalde gizli olması gereken çevrim içi bir sunucuya yüklüyor ve özel bir URL oluşturuyor, akabinde kullanıcı da bu URL’yi isterse karşı tarafa gönderebiliyor; normalde uygulamanın çalışma mantığı genel olarak böyle.

Ancak araştırmacılar, Go SMS Pro tarafından oluşturulan bu web adreslerinin ardışık bir formatta olduğunu tespit etti. Meğer uygulama, kendi kullanıcıları arasında olsa bile her halükarda dosyayı herkese açık bir sunucuya yüklüyormuş ve yine URL oluşturuyormuş. URL herkes tarafından erişilebilir olduğu için, doğal olarak deneme yanılma yoluyla tahmin edebilenler de, milyonlarca kişinin özel dosyalarına erişebilme potansiyeline sahip oluyor. İşte tüm olay bundan ibaret.

Bu durumla ilgili olarak TechCrunch ekibi, paylaştıkları bir yazıda, Go SMS Pro’nun güvenlik açığından faydalanarak bir kişinin telefon numarası, banka havalesinin ekran görüntüsü, ev adresinin yazdığı sipariş özeti gibi bazı hassas bilgiler bulabildiklerini söyledi. Android işletim sisteminin modüler bir yapıda olması ve özelleştirilebilir olması iyi hoş. Fakat böyle potansiyel tehlikeleri her zaman bünyesinde barındırdığını da aklımızdan çıkarmamalıyız.

Mozilla, Firefox tarayıcısını kullananların internet ortamındaki gizliliğini ve güvenliğini artıracak ‘Yalnızca HTTPS Modu’ adında yeni bir özellik kullanıma sundu. Firefox’un 83. sürümünden itibaren kullanıcılara dağıtılan ‘Yalnızca HTTPS Modu’, HTTP olmayan bir sitede dahi otomatikman HTTPS protokolünü kullanarak bilgisayar ile sunucu arasındaki güvenliği sağlamayı hedefliyor.

İlginizi çekebilir: Bazı iPhone 12 modellerinde ekran sorunları yaşanıyor

reklam

Popüler web tarayıcısı Firefox’un geliştiricisi olan Mozilla, Firefox’un 83. sürümünü dağıtmaya başladı. Bu sürümle birlikte Mozilla, tarayıcıya kullanıcıların ziyaret ettikleri web sitelerine sürekli ‘güvenli’ bağlantılar kurabilmelerini sağlayan güvenlik odaklı bir yenilik ekledi.

Firefox, 83. sürümüyle HTTP’ye büyük bir darbe vurdu!

Mozilla geliştiricilerinin ‘Yalnızca HTTPS Modu’ olarak adlandırdığı yeni özellik, basitçe bir kullanıcının HTTPS olmayan siteye girmeye çalışmasına mani oluyor. Diyelim ki adres satırına HTTP olan bir site yazdınız veya arama sonuçlarından HTTP’li bir siteye girmeye çalıştınız, işte Firefox onu mümkün olduğunda HTTPS yapmaya çalışacak. Firefox, bu sürümden itibaren HTTPS protokolüyle şifrelenmemiş öğeler barındıran sitelere bağlanan kullanıcılara, bağlamadan önce uyarı da gönderecek ve kullanıcının iznini isteyecek.

Örneğin HTTPS olmayan bir siteye girmek istediğinizi farz edin. Böyle bir durumda, tam siteye tıklayacakken Firefox karşınıza HTTPS olmayan bir siteye girmenin potansiyel risklerini açıklayan bir hata mesajı çıkaracak. Yani girmek istediğiniz site, Firefox’un ‘Yalnızca HTTPS Modu’ ile çakışıyorsa, Firefox bu durumda o siteye çat diye bağlanmanıza izin vermeyecek.

Firefox ayrıca, ille de HTTPS olmayan sitelere bağlanmak isteyen kullanıcıların, tarayıcının sekme çubuğundaki kilit simgesine tıklayıp Yalnızca HTTPS Modu’nu geçici olarak kapatmasına da izin veriyor.

Yalnızca HTTPS Modu nasıl açılır?

Yalnızca HTTPS Modu’nu ilk defa açacaksanız da, şu adımları takip edebilirsiniz:

• Tercihler’e girin.
• Sol kısımdaki Gizlilik ve Güvenlik’e tıklayın.
• Sayfanın en altındaki “Tüm pencerelerde Yalnızca HTTPS Modunu Etkinleştir” seçeneğine tıklayın.

Yeni güvenlik özelliğine ek olarak Firefox 83; resim içinde resim modunda video oynatırken bilgisayarın yön tuşlarıyla videoyu ileri-geri sarma, gelişmiş arama özellikleri ve optimize edilmiş sayfa yükleme hızları gibi yenilikleri de beraberinde getiriyor.

Google, çocuklar için yapılmış olan Princess Salon​, Number Coloring ve Cats & Cosplay isimli Android uygulamalarını, çocukların verilerini topladığı gerekçesiyle Play Store’dan kaldırdı. Teknoloji devi, Uluslararası Dijital Hesap Verebilirlik Konseyi tarafından bahse konu uygulamaların potansiyel riskler barındırdığının tespit edilmesi sonucu bu kararı aldı.

İlginizi çekebilir: App Store gelirleri, Google Play Store’u ikiye katladı

reklam

İnternette, özellikle 2 yaşındaki çocuğun bile kolaylıkla erişebileceği mobil cihazlarda, yetişkinlerin ve çocukların kendilerini koruyabilmeleri hiç kolay değil. Bunu fark fark etmeyen her kişi, ‘bana bir şey olmaz’ diye düşünüyor. Ancak kimileri var ki, çocukların dahi özel verilerini toplamayı kendisine bir iş(!) haline getirmiş durumdalar.

Çocukların verilerini ihlal eden üç uygulama Google tarafından kaldırıldı

Bunu yaparken, mobil cihazlarda çocukları çikolata dağıtarak kendilerine çekmeye çalışıyorlar. Android ve iOS’in sahipleri bu çikolataları engellemek için çok katı kurallar getirseler de, zaman zaman engelleyemedikleri de oluyor. Bu hafta Boston merkezli bir kâr amacı gütmeyen gözetim kuruluşu olan Uluslararası Dijital Hesap Verebilirlik Konseyi (IDAC), Google’ın gözünden kaçan üç adet zararlı Android uygulaması tespit etti.

IDAC araştırmacılarının söylediğine göre, yeni doğmuş bebek gibi masum görünen Princess Salon​, Number Coloring ve Cats & Cosplay isimli üç uygulama son zamanlarda genç kullanıcıların verilerini, Google’ın veri politikalarını ihlal etmek suretiyle toplayıp işlemeye koyulmuştu. Uygulamaların, telefonlardan Android ID ve AAID bilgilerini toplayan Unity, Appodeal, Umeng temelli geliştirici kiti sürümleri kullanarak verileri ele geçirdiği anlaşıldı.

Konuyla alakalı olarak Google, bu uygulamaların “çocuklara yönelik hizmetler” için kullanılmasına asla izin verilmeyen geliştirici kitlerini kullanarak, kendi veri politikalarını ihlal etmiş olduğunu açıkladı. Ayrıca şirket buna benzer sorunları yakalamak için hala ittifaklar ve çeşitli prosedürler üzerinde çalıştığını da ekledi. Politikalarını ihlal eden bir uygulama tespit ettiklerinde derhal harekete geçtiklerini vurgulayan Google yetkilileri, söz konusu uygulamaları da kaldırdıklarını ilave etti.

Şu andan itibaren uygulamaların Play Store sayfalarına erişilemiyor. Fakat Android açık kaynaklı bir işletim sistemi olduğu için ve bir uygulama Play Store’da olmasa bile yüklenebildiği için, bu noktada ebeveynlerin çok dikkatli olmaları ve denetimi elden bırakmamaları gerekecek.