Sosyal medya
Türk Telekom reklamı
Türk Telekom reklamı

Güvenlik

SMS yazılımı Go SMS Pro, milyonları etkileyen sorunla gündemde!

Oppo Reno 4 reklamı Advertisement

Play Store’da yüz milyondan fazla kişinin yüklediği Go SMS Pro adlı SMS uygulamasında, tüm kullanıcıları etkileyecek bir güvenlik açığı bulundu. Güvenlik firması TrustWave tarafından kamuoyuyla paylaşılan detaylara göre uygulama, kullanıcıların gönderdiği medyaları otomatik olarak herkese açık bir sunucuya yüklüyor.


İlginizi çekebilir: Google Play Store’dan milyonları etkileyen güvenlik açığı!

reklam
MSI reklamı

Dikkat: Go SMS Pro kullandıysanız, özel verileriniz ifşa olmuş olabilir!

TrustWave firmasında çalışan bir grup güvenlik araştırmacısı, Play Store’da yüz milyondan fazla kişinin yüklemiş olduğu bir üçüncü taraf SMS uygulamasında çok ciddi bir güvenlik açığı bulduklarını duyurdu. Go SMS Pro isimli uygulamada belirlenen güvenlik açığına göre, uygulama kullanıcıların birbirlerine gönderdikleri medyaları otomatikman herkese açık bir sunucuya yüklüyor.

Go SMS Pro, dosyaları herkesin erişebildiği çevrim içi bir sunucuya yükledikten sonra özel bir URL oluşturuyor. Güvenlik araştırmacılarının dahi erişebildiği bu URL vasıtasıyla da tüm kullanıcıların özel verileri ifşa olmuş oluyor. TrustWave araştırmacıları, TechCrunch’a yaptıkları açıklamada söz konusu güvenlik açığıyla alakalı olarak uygulama geliştiricileriyle iletişime geçmeye çalıştıklarını ancak cevap alamadıklarını söyledi.

Go SMS Pro

Araştırmacılar, güvenlik açığının çalışma mantığını ise kısaca şu şekilde izah ediyorlar:

Go SMS Pro’yu kullanan kişi, herhangi biriyle fotoğraf-video paylaşmak isterse, bu paylaşımı Go SMS Pro’yla yapabiliyor. Şöyle ki uygulama, paylaşılan dosyayı, normalde gizli olması gereken çevrim içi bir sunucuya yüklüyor ve özel bir URL oluşturuyor, akabinde kullanıcı da bu URL’yi isterse karşı tarafa gönderebiliyor; normalde uygulamanın çalışma mantığı genel olarak böyle.

Ancak araştırmacılar, Go SMS Pro tarafından oluşturulan bu web adreslerinin ardışık bir formatta olduğunu tespit etti. Meğer uygulama, kendi kullanıcıları arasında olsa bile her halükarda dosyayı herkese açık bir sunucuya yüklüyormuş ve yine URL oluşturuyormuş. URL herkes tarafından erişilebilir olduğu için, doğal olarak deneme yanılma yoluyla tahmin edebilenler de, milyonlarca kişinin özel dosyalarına erişebilme potansiyeline sahip oluyor. İşte tüm olay bundan ibaret.

Bu durumla ilgili olarak TechCrunch ekibi, paylaştıkları bir yazıda, Go SMS Pro’nun güvenlik açığından faydalanarak bir kişinin telefon numarası, banka havalesinin ekran görüntüsü, ev adresinin yazdığı sipariş özeti gibi bazı hassas bilgiler bulabildiklerini söyledi. Android işletim sisteminin modüler bir yapıda olması ve özelleştirilebilir olması iyi hoş. Fakat böyle potansiyel tehlikeleri her zaman bünyesinde barındırdığını da aklımızdan çıkarmamalıyız.

Yorum yapmak için tıklayın

Yorum yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Güncelleme

Firefox 83, kullanıcıları otomatikman HTTPS sitelere yönlendirecek

Firefox Yalnızca HTTPS Modu
Oppo Reno 4 reklamı Advertisement

Mozilla, Firefox tarayıcısını kullananların internet ortamındaki gizliliğini ve güvenliğini artıracak ‘Yalnızca HTTPS Modu’ adında yeni bir özellik kullanıma sundu. Firefox’un 83. sürümünden itibaren kullanıcılara dağıtılan ‘Yalnızca HTTPS Modu’, HTTP olmayan bir sitede dahi otomatikman HTTPS protokolünü kullanarak bilgisayar ile sunucu arasındaki güvenliği sağlamayı hedefliyor.


İlginizi çekebilir: Bazı iPhone 12 modellerinde ekran sorunları yaşanıyor

reklam
MSI reklamı

Popüler web tarayıcısı Firefox’un geliştiricisi olan Mozilla, Firefox’un 83. sürümünü dağıtmaya başladı. Bu sürümle birlikte Mozilla, tarayıcıya kullanıcıların ziyaret ettikleri web sitelerine sürekli ‘güvenli’ bağlantılar kurabilmelerini sağlayan güvenlik odaklı bir yenilik ekledi.

Firefox, 83. sürümüyle HTTP’ye büyük bir darbe vurdu!

Mozilla geliştiricilerinin ‘Yalnızca HTTPS Modu’ olarak adlandırdığı yeni özellik, basitçe bir kullanıcının HTTPS olmayan siteye girmeye çalışmasına mani oluyor. Diyelim ki adres satırına HTTP olan bir site yazdınız veya arama sonuçlarından HTTP’li bir siteye girmeye çalıştınız, işte Firefox onu mümkün olduğunda HTTPS yapmaya çalışacak. Firefox, bu sürümden itibaren HTTPS protokolüyle şifrelenmemiş öğeler barındıran sitelere bağlanan kullanıcılara, bağlamadan önce uyarı da gönderecek ve kullanıcının iznini isteyecek.

Firefox Yalnızca HTTPS Modu

Örneğin HTTPS olmayan bir siteye girmek istediğinizi farz edin. Böyle bir durumda, tam siteye tıklayacakken Firefox karşınıza HTTPS olmayan bir siteye girmenin potansiyel risklerini açıklayan bir hata mesajı çıkaracak. Yani girmek istediğiniz site, Firefox’un ‘Yalnızca HTTPS Modu’ ile çakışıyorsa, Firefox bu durumda o siteye çat diye bağlanmanıza izin vermeyecek.

Firefox ayrıca, ille de HTTPS olmayan sitelere bağlanmak isteyen kullanıcıların, tarayıcının sekme çubuğundaki kilit simgesine tıklayıp Yalnızca HTTPS Modu’nu geçici olarak kapatmasına da izin veriyor.

Yalnızca HTTPS Modu nasıl açılır?

Yalnızca HTTPS Modu’nu ilk defa açacaksanız da, şu adımları takip edebilirsiniz:

  • Tercihler’e girin.
  • Sol kısımdaki Gizlilik ve Güvenlik’e tıklayın.
  • Sayfanın en altındaki “Tüm pencerelerde Yalnızca HTTPS Modunu Etkinleştir” seçeneğine tıklayın.

Yeni güvenlik özelliğine ek olarak Firefox 83; resim içinde resim modunda video oynatırken bilgisayarın yön tuşlarıyla videoyu ileri-geri sarma, gelişmiş arama özellikleri ve optimize edilmiş sayfa yükleme hızları gibi yenilikleri de beraberinde getiriyor.

Devamını oku

Google

Google, çocukların verilerini toplayan üç uygulamayı yasakladı

Google Play Store çocuk
Oppo Reno 4 reklamı Advertisement

Google, çocuklar için yapılmış olan Princess Salon​, Number Coloring ve Cats & Cosplay isimli Android uygulamalarını, çocukların verilerini topladığı gerekçesiyle Play Store’dan kaldırdı. Teknoloji devi, Uluslararası Dijital Hesap Verebilirlik Konseyi tarafından bahse konu uygulamaların potansiyel riskler barındırdığının tespit edilmesi sonucu bu kararı aldı.


İlginizi çekebilir: App Store gelirleri, Google Play Store’u ikiye katladı

reklam
MSI reklamı

İnternette, özellikle 2 yaşındaki çocuğun bile kolaylıkla erişebileceği mobil cihazlarda, yetişkinlerin ve çocukların kendilerini koruyabilmeleri hiç kolay değil. Bunu fark fark etmeyen her kişi, ‘bana bir şey olmaz’ diye düşünüyor. Ancak kimileri var ki, çocukların dahi özel verilerini toplamayı kendisine bir iş(!) haline getirmiş durumdalar.

Çocukların verilerini ihlal eden üç uygulama Google tarafından kaldırıldı

Princess Salon​, Number Coloring ve Cats & Cosplay

Bunu yaparken, mobil cihazlarda çocukları çikolata dağıtarak kendilerine çekmeye çalışıyorlar. Android ve iOS’in sahipleri bu çikolataları engellemek için çok katı kurallar getirseler de, zaman zaman engelleyemedikleri de oluyor. Bu hafta Boston merkezli bir kâr amacı gütmeyen gözetim kuruluşu olan Uluslararası Dijital Hesap Verebilirlik Konseyi (IDAC), Google’ın gözünden kaçan üç adet zararlı Android uygulaması tespit etti.

IDAC araştırmacılarının söylediğine göre, yeni doğmuş bebek gibi masum görünen Princess Salon​, Number Coloring ve Cats & Cosplay isimli üç uygulama son zamanlarda genç kullanıcıların verilerini, Google’ın veri politikalarını ihlal etmek suretiyle toplayıp işlemeye koyulmuştu. Uygulamaların, telefonlardan Android ID ve AAID bilgilerini toplayan Unity, Appodeal, Umeng temelli geliştirici kiti sürümleri kullanarak verileri ele geçirdiği anlaşıldı.

Konuyla alakalı olarak Google, bu uygulamaların “çocuklara yönelik hizmetler” için kullanılmasına asla izin verilmeyen geliştirici kitlerini kullanarak, kendi veri politikalarını ihlal etmiş olduğunu açıkladı. Ayrıca şirket buna benzer sorunları yakalamak için hala ittifaklar ve çeşitli prosedürler üzerinde çalıştığını da ekledi. Politikalarını ihlal eden bir uygulama tespit ettiklerinde derhal harekete geçtiklerini vurgulayan Google yetkilileri, söz konusu uygulamaları da kaldırdıklarını ilave etti.

Şu andan itibaren uygulamaların Play Store sayfalarına erişilemiyor. Fakat Android açık kaynaklı bir işletim sistemi olduğu için ve bir uygulama Play Store’da olmasa bile yüklenebildiği için, bu noktada ebeveynlerin çok dikkatli olmaları ve denetimi elden bırakmamaları gerekecek.

Devamını oku

Güvenlik

Zoom uçtan uca şifreleme özelliğini nihayet sunmaya başlıyor

Oppo Reno 4 reklamı Advertisement

Zoom, çarşamba günü yaptığı duyuruda önümüzdeki haftadan itibaren uçtan uca şifreleme (E2EE) desteğini sunmaya başlayacağını söyledi. Popüler video konferans platformu, özelliği daha önce beta olarak kullanıma sunmuştu.


İlginizi çekebilir: Zoom, tüm uygulamalarına iki faktörlü doğrulama özelliği ekledi

reklam
MSI reklamı

Zoom uçtan uca şifreleme, ücretsiz ve ücretli hesaplara sunuluyor

Zoom uçtan uca şifreleme

Pandemi sürecinde yıldızı parlayan video konferans platformu Zoom’un yetkilileri, çarşamba günü paylaştığı blog gönderisinde uçtan uca şifreleme desteğini kullanıma sunmaya hazır olduklarını söyledi. 4 aşamadan oluşan sunumun ilk aşamasında E2EE desteği teknik ön izlemeyle yayınlanacak. Bu aşamada Zoom, ilk 30 gün için kullanıcılardan uçtan uca şifreleme hakkında geri bildirim toplamak istediğini söylüyor.

Özellik kullanıma sunulduğunda toplantı sahipleri E2EE’yi hesap, grup ve kullanıcı düzeyinde etkinleştirebilecek; uçtan uca şifreleme etkinleştirildiğinde, tüm katılımcıların şifreli bir toplantıya katılabilmesi için kendi hesaplarında da ayarı etkinleştirmeleri gerekecek. Ayrıca Zoom, uçtan uca şifrelemeyi ücretli veya ücretsiz fark etmeksizin tüm hesaplara sunacağını da ilave etti.

Daha önce, şirket yalnızca kurumsal kullanıcılara E2EE’yi vereceğini söylemiş, ancak gelen yoğun tepkiler neticesinde bu özelliği ücretsiz hesaplara da genişletmişti. Bu bağlamda ücretsiz ve ücretli Zoom kullanıcıları, uçtan uca şifrelemeyle desteklenen bir toplantıda 200’e kadar katılımcıya ev sahipliği yapabilecek, elbette ki toplantıların daha güvenli olması da ayrıca önem taşıyor.

GCM şifrelemesini temel alıyor

Zoom uçtan uca şifreleme
Zoom, uçtan uca şifrelemenin çalışma mantığıyla alakalı da bilgiler paylaştı. Buna göre E2EE, mevcut haliyle kullanılmakta olan GCM şifreleme sistemiyle aynı şekilde çalışıyor. Tek fark, Zoom’un katılımcıların hesaplarına atadığı güvenlik anahtarlarının dağıtım şekli olacak.

Mevcut haliyle bir toplantı başlattığınız zaman, Zoom’un bulut hizmeti şifreleme anahtarları üretiyor ve bunları tüm katılımcılara uygulama aracığıyla dağıtıyor; yani bir bilgisayarda üretilen anahtar, karşıdaki kişinin bilgisayarına Zoom uygulamasıyla gönderiliyor ve onun bilgisayarında çözülüyor. E2EE olduğunda ise Zoom, anahtarları üretip diğer toplantı katılımcılarına dağıtırken benzersiz bir şifreleme sistemi kullanacak.

Kullanıma sunulduktan sonra uçtan uca şifrelemenin etkin olduğundan emin olmak için, ekranınızın sol köşesini kontrol edebilirsiniz. Zoom, uçtan uca şifreleme özelliğinin çalıştığını bildirmek amacıyla toplantı ekranının sol üst köşesinde yeşil bir kalkan logosu ekleyecek. Ayrıca blog gönderisindeki açıklamaya göre Zoom, söz konusu uçtan şifreleme anahtarlarını kesinlikle bilmiyor.

Devamını oku
MSI reklamı

HWP COIN’den Haberler