Sosyal medya

Güvenlik

Play Store’daki yüzlerce uygulamada güvenlik sorunu keşfedildi

Play Store

Bir araştırma ekibi, uygulamaları analiz etmek için geliştirdikleri bir aracı kullanarak Play Store üzerindeki yüzlerce uygulamanın temel şifreleme algoritmalarını kırmayı başardı.


İlginizi çekebilir: Microsoft, kendi geliştirdiği deepfake tespit aracını duyurdu

reklam
MSI reklamı

Columbia Üniversitesi’nden bir grup araştırmacı, 300′den fazla Android uygulamasında yaptığı testler neticesinde, uygulamalarda kriptografi – şifreleme – hataları bulduğunu açıkladı. Araştırmacıların geliştirdiği CRYLOGGER adlı bu araç, Android uygulamalarını 26 temel şifreleme kurallarını baz alarak analiz ediyor. Analiz sonucunda ise bu uygulamaların, şifreleme konusunda güvenli olup olmadığı ortaya çıkıyor.

Ekip, CRYLOGGER aracını Play Store veri tabanındaki 33 farklı kategorideki en popüler 1780 uygulamada denediklerini söylüyor. Android 9.0.0r36 çalıştıran bir emülatörde yapılan testlerin, tamamlanmasının ise yaklaşık 10 gün sürdüğü ifade ediliyor. CRYLOGGER aracı, uygulamaları analiz ederken bozuk hash fonksiyonu, kötü şifre kullanımı ve aynı şifrenin birden fazla yerde kullanılması gibi toplam 26 farklı şifre kullanım senaryosunu baz alıyor.

Play Store

Analize göre yüzlerce kişi, bu 26 farklı senaryodan birçoğunu olmasa da en az birini bilerek veya bilmeyerek ihlal ediyor. İşte bahse konu çalışmanın da aydınlattığı nokta tam olarak burası. Columbia ekibi, tespit ettikleri Play Store uygulamalarının bu sorunlar karşısında ne kadar tedbirsiz ve güvensiz olduğuna ışık tutuyor.

Diğer taraftan araştırma ekibi, Android uygulamalarındaki en çok kırılan yaygın şifreleme yöntemlerini de paylaştı. Bu yöntemler; sözde rassal sayı üreteci, bozuk hash fonksiyonları ve CBC (şifre blok zincirlemesi) modu olarak belirtiliyor. Yani bu yöntemlerle üretilen şifrelere karşı, CRYLOGGER’ın tespit ettiği uygulamaların hiçbir koruması yok.

Ayrıca geliştirilen CRYLOGGER aracı şu an GitHub üzerinde bulunabiliyor. Bu aracın uygulama kodlarını dinamik olarak analiz etmesinin sebebi, ekibe göre statik analizin negatif etkiler yaratma ve kodda bulunan şifreleme hatalarını gözden kaçırma ihtimali. Bundan dolayı ekip, uygulamaları dinamik olarak analiz etmeyi seçtiklerini ifade ediyor.

Yorum yapmak için tıklayın

Yorum yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Google

Google, çocukların verilerini toplayan üç uygulamayı yasakladı

Yazan:

Google Play Store çocuk

Google, çocuklar için yapılmış olan Princess Salon​, Number Coloring ve Cats & Cosplay isimli Android uygulamalarını, çocukların verilerini topladığı gerekçesiyle Play Store’dan kaldırdı. Teknoloji devi, Uluslararası Dijital Hesap Verebilirlik Konseyi tarafından bahse konu uygulamaların potansiyel riskler barındırdığının tespit edilmesi sonucu bu kararı aldı.


İlginizi çekebilir: App Store gelirleri, Google Play Store’u ikiye katladı

reklam
MSI reklamı

İnternette, özellikle 2 yaşındaki çocuğun bile kolaylıkla erişebileceği mobil cihazlarda, yetişkinlerin ve çocukların kendilerini koruyabilmeleri hiç kolay değil. Bunu fark fark etmeyen her kişi, ‘bana bir şey olmaz’ diye düşünüyor. Ancak kimileri var ki, çocukların dahi özel verilerini toplamayı kendisine bir iş(!) haline getirmiş durumdalar.

Çocukların verilerini ihlal eden üç uygulama Google tarafından kaldırıldı

Princess Salon​, Number Coloring ve Cats & Cosplay

Bunu yaparken, mobil cihazlarda çocukları çikolata dağıtarak kendilerine çekmeye çalışıyorlar. Android ve iOS’in sahipleri bu çikolataları engellemek için çok katı kurallar getirseler de, zaman zaman engelleyemedikleri de oluyor. Bu hafta Boston merkezli bir kâr amacı gütmeyen gözetim kuruluşu olan Uluslararası Dijital Hesap Verebilirlik Konseyi (IDAC), Google’ın gözünden kaçan üç adet zararlı Android uygulaması tespit etti.

IDAC araştırmacılarının söylediğine göre, yeni doğmuş bebek gibi masum görünen Princess Salon​, Number Coloring ve Cats & Cosplay isimli üç uygulama son zamanlarda genç kullanıcıların verilerini, Google’ın veri politikalarını ihlal etmek suretiyle toplayıp işlemeye koyulmuştu. Uygulamaların, telefonlardan Android ID ve AAID bilgilerini toplayan Unity, Appodeal, Umeng temelli geliştirici kiti sürümleri kullanarak verileri ele geçirdiği anlaşıldı.

Konuyla alakalı olarak Google, bu uygulamaların “çocuklara yönelik hizmetler” için kullanılmasına asla izin verilmeyen geliştirici kitlerini kullanarak, kendi veri politikalarını ihlal etmiş olduğunu açıkladı. Ayrıca şirket buna benzer sorunları yakalamak için hala ittifaklar ve çeşitli prosedürler üzerinde çalıştığını da ekledi. Politikalarını ihlal eden bir uygulama tespit ettiklerinde derhal harekete geçtiklerini vurgulayan Google yetkilileri, söz konusu uygulamaları da kaldırdıklarını ilave etti.

Şu andan itibaren uygulamaların Play Store sayfalarına erişilemiyor. Fakat Android açık kaynaklı bir işletim sistemi olduğu için ve bir uygulama Play Store’da olmasa bile yüklenebildiği için, bu noktada ebeveynlerin çok dikkatli olmaları ve denetimi elden bırakmamaları gerekecek.

Devamını oku

Güvenlik

Zoom uçtan uca şifreleme özelliğini nihayet sunmaya başlıyor

Yazan:

Zoom, çarşamba günü yaptığı duyuruda önümüzdeki haftadan itibaren uçtan uca şifreleme (E2EE) desteğini sunmaya başlayacağını söyledi. Popüler video konferans platformu, özelliği daha önce beta olarak kullanıma sunmuştu.


İlginizi çekebilir: Zoom, tüm uygulamalarına iki faktörlü doğrulama özelliği ekledi

reklam
MSI reklamı

Zoom uçtan uca şifreleme, ücretsiz ve ücretli hesaplara sunuluyor

Zoom uçtan uca şifreleme

Pandemi sürecinde yıldızı parlayan video konferans platformu Zoom’un yetkilileri, çarşamba günü paylaştığı blog gönderisinde uçtan uca şifreleme desteğini kullanıma sunmaya hazır olduklarını söyledi. 4 aşamadan oluşan sunumun ilk aşamasında E2EE desteği teknik ön izlemeyle yayınlanacak. Bu aşamada Zoom, ilk 30 gün için kullanıcılardan uçtan uca şifreleme hakkında geri bildirim toplamak istediğini söylüyor.

Özellik kullanıma sunulduğunda toplantı sahipleri E2EE’yi hesap, grup ve kullanıcı düzeyinde etkinleştirebilecek; uçtan uca şifreleme etkinleştirildiğinde, tüm katılımcıların şifreli bir toplantıya katılabilmesi için kendi hesaplarında da ayarı etkinleştirmeleri gerekecek. Ayrıca Zoom, uçtan uca şifrelemeyi ücretli veya ücretsiz fark etmeksizin tüm hesaplara sunacağını da ilave etti.

Daha önce, şirket yalnızca kurumsal kullanıcılara E2EE’yi vereceğini söylemiş, ancak gelen yoğun tepkiler neticesinde bu özelliği ücretsiz hesaplara da genişletmişti. Bu bağlamda ücretsiz ve ücretli Zoom kullanıcıları, uçtan uca şifrelemeyle desteklenen bir toplantıda 200’e kadar katılımcıya ev sahipliği yapabilecek, elbette ki toplantıların daha güvenli olması da ayrıca önem taşıyor.

GCM şifrelemesini temel alıyor

Zoom uçtan uca şifreleme
Zoom, uçtan uca şifrelemenin çalışma mantığıyla alakalı da bilgiler paylaştı. Buna göre E2EE, mevcut haliyle kullanılmakta olan GCM şifreleme sistemiyle aynı şekilde çalışıyor. Tek fark, Zoom’un katılımcıların hesaplarına atadığı güvenlik anahtarlarının dağıtım şekli olacak.

Mevcut haliyle bir toplantı başlattığınız zaman, Zoom’un bulut hizmeti şifreleme anahtarları üretiyor ve bunları tüm katılımcılara uygulama aracığıyla dağıtıyor; yani bir bilgisayarda üretilen anahtar, karşıdaki kişinin bilgisayarına Zoom uygulamasıyla gönderiliyor ve onun bilgisayarında çözülüyor. E2EE olduğunda ise Zoom, anahtarları üretip diğer toplantı katılımcılarına dağıtırken benzersiz bir şifreleme sistemi kullanacak.

Kullanıma sunulduktan sonra uçtan uca şifrelemenin etkin olduğundan emin olmak için, ekranınızın sol köşesini kontrol edebilirsiniz. Zoom, uçtan uca şifreleme özelliğinin çalıştığını bildirmek amacıyla toplantı ekranının sol üst köşesinde yeşil bir kalkan logosu ekleyecek. Ayrıca blog gönderisindeki açıklamaya göre Zoom, söz konusu uçtan şifreleme anahtarlarını kesinlikle bilmiyor.

Devamını oku

Güvenlik

Avrupa Birliği’nin gizlilik talimatları sonrası Facebook Avrupa’yı terk edebilir

Geçtiğimiz günlerde Amerika’nın TikTok’a karşı uyguladığı sıkı tedbirler gündem olmuştu. Şimdi de veri güvenliği konusunda Facebook‘un başı dertte. Avrupa Birliği Facebook‘a resmen ilettiği ön emirde, Facebook’un Avrupa’daki kullanıcıların kişisel verilerini Amerika’ya transfer etmemesini ve verilerin Avrupa’da kalmasının gerekliliğini bildirdi. Facebook yetkilileri ise bu karar sonrası hem Facebook’un hem de Instagram’ın Avrupa’da devam etmeyebileceğini belirtti.

İlginizi çekebilir: Akıllı telefonlar ve Wi-Fi, hayati öneme sahip böcekleri öldürüyor

reklam
MSI reklamı

Avrupa Birliği, verilerin gizliliği konusunda sıkı bir politika izliyor. Bu politika doğrultusunda, Facebook‘a gönderilen ön emirde Avrupalı kullanıcıların verilerinin Amerika’ya transfer edilmemesi ve Avrupa’da kalması gerekliliği bildirilmişti. Facebook’a ciddi bir maddi külfet anlamına gelen bu karar sonrası, Facebook oldukça sert bir yanıt gönderdi. Facebook’un gönderdiği resmi yanıta göre, bu kararın askıya alınmaması durumunda Facebook ve Instagram‘ın Avrupa’daki faaliyetlerini durdurması söz konusu. Şirketin İrlanda ayağında veri güvenliği konusunda önemli bir göreve sahip Yvonne Cunnane yaptığı açıklamada, bu şartlarda şirketin Avrupa’daki servislerini durdurabileceğini belirtti.

Facebook ve Instagram Avrupa’da toplamda 410 milyonun üzerinde kullanıcıya sahip. Şirketin Avrupa faaliyetini sonlandırması sonrası 410 milyondan fazla kişini bu uygulamalara erişimi kesilecek. Ancak Facebook’un bu tehdidine rağmen bu ihtimalin az olduğu ön görülmekte. Facebook‘un Avrupa‘da bir veri merkezi kurup verileri burada tutması daha olası gözüküyor.

Devamını oku

HWP COIN’den Haberler