Etiket arşivi: Check Point Research

Dijital Güvenlik

Telefonlarınızdaki dolandırıcı uygulamaları kaldırın

Yorum yapın

Telefonlarınızdaki dolandırıcı uygulamaları kaldırınBirçok cep telefonunda yaygın olarak kullanılan Android işletim sisteminde bazı uygulamaların dolandırıcılık gibi kritik güvenlik riskleri oluşturduğu ortaya çıktı

Check Point’in yeni araştırması, 100 milyonu aşkın Android kullanıcısının hassas verilerini kullanan yüksek riskli uygulamaların “dolandırıcılık ve kimlik hırsızlığına” yol açabileceğini ortaya koyuyor.

Check Point araştırmacıları, herhangi bir zararlı yazılımla karşı karşıya olmadığımızı, araştırmaya konu olan şeyin, verilerinizi koruyamayan uygulamalarla verilerinizi paylaştığınızda ortaya çıkabilecek sorunlar olduğunu söylüyor.

UYGULAMA GELİŞTİRİCİLERİ YETERLİ ÖNLEM ALMADI

Günümüzde birçok uygulama verilerinizi, ayarlarınızı ve bilgilerinizi depolamak için gerçek zamanlı bulut veritabanlarını kullanıyor. Teknik olarak sorun, geliştiricilerin uygulamalarına push bildirim anahtarlarını veya bulut depolama anahtarlarını yerleştirerek zayıf bir güvenlik yaklaşımı benimsemesi. Uygulamaya gömülü bir bulut depolama anahtarına sahip olmak, kilitli kapıyı açmak için paspas altına bırakılan anahtarı andırıyor. Yani kilidin herhangi bir anlamı kalmıyor.

Check Point raporunda yer alan uyarıda, “23 Android uygulaması üzerinde yapılan bir incelemede, çok sayıda uygulama geliştiricisinin üçüncü taraf bulut hizmetlerini kötüye kullandığını gördük. Bu durum, sadece kendilerinin değil, kullanıcıların da verilerinin açığa çıkmasına neden oldu. Kullanıcıların açığa çıkan kişisel verilerine uygulama verilerinin yanı sıra e-postalar, sohbet mesajları, konum, şifreler ve fotoğraflar da dahildir.” ifadeleri kullanılıyor.

KİMLİK BİLGİLERİNİZ ÇALINABİLİR

Araştırılan uygulamaların hala riskli olması ve kötü niyetli aktörlerin bu bilgileri kullanabileceğinden dolayı, uygulamaların isimlerini paylaşmıyorlar.

Check Point araştırmacıları, “Android uygulamalarından 10.000 ila 10 milyon indirme arasında değişen hassas verilere başarıyla eriştik. Kötü niyetli bir aktör, bu hassas verilere erişim kazanırsa, bu potansiyel olarak sahtekarlığa, kimlik hırsızlığına ve aynı kullanıcı adı-parola kombinasyonunu kullanan diğer hizmetlere erişilmesine yol açabilir.” uyarısında bulunuyor.

Siber korsanlara şafak operasyonu: Kişisel verileri satan android operatörleri tutuklandı

Kullanıcıların, “uygulamanın altyapısını kontrol etmeden herhangi bir sorun olup olmayacağını” fark etmesinin olanaksız olduğunu söyleyen araştırmacılar, “kullanıcıların yapabileceği hiçbir şey yok” diyor. İşin daha da kötüsü, verilerinizi güvende tutmanızı sağlayacak pek fazla manevra alanınızın olmaması.

VERİLERİNİZİ NASIL GÜVENDE TUTABİLİRSİNİZ?

Check Point araştırmacıları, her ne kadar Android ve Play Store uygulamalarına odaklansa da iOS uygulamaları için de durum benzer bir şekilde ilerlemeye devam ediyor. Gerçekten bir fal uygulaması için tüm hassas verilerinizi paylaşmaya niyetli misiniz?

Yine de riskleri azaltmak için alabileceğiniz küçük önlemler mevcut. Örneğin parolalarınızı her uygulama özelinde farklı tutmak, en azından diğer uygulamalarınızı güvende tutmanızı sağlayabilir. Gerçekten ihtiyaç duyduğunuz uygulamaları indirmek de diğer bir çözüm. 5 farklı PDF okuyucusuna gerçekten ihtiyacınız var mı? Ayrıca cihazlarınıza güvenli yazılımlar da indirebilirsiniz. Böylelikle nispeten yaşanabilecek sorunlara karşı önlemler alabilirsiniz.

Dijital Güvenlik

TikTok’ta kritik güvenlik açığı: İsteyen herkes veritabanına ulaşabilir mi?

Yorum yapın

Geçtiğimiz günlerde yayımlanan bir araştırma ile Çinli video paylaşım platformunda TikTok’ta önemli bir güvenlik açığını ortaya çıkardı. “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusunu merak eden araştırmacılar kimlik hırsızlığıyla sonuçlanabilecek kritik bir zafiyeti keşfetti.

Siber güvenlik firması Check Point Research araştırmacıları, popüler sosyal medya platformu TikTok kullanıcılarının kişisel verilerini çalmasına izin veren güvenlik açığı tespit etti. Tespit edilen güvenlik açığı TikTok’un “Arkadaş Bul” seçeneğinde bulundu.

Sıklıkla güvenlik açıklarıyla gündeme gelen ve Çin merkezli ByteDance firmasına ait olan TikTok uygulaması, gizlilik ihlallerini önlemek, kullanıcıların verilerini saklı tutabilmek adına bir süredir hata-ödül programı olan HackerOne ile birlikte çalışarak tehdit aktörlerinden önce güvenlik açıklarını bulmak için çalışma başlatmıştı. Yapılan çalışmalarla birlikte birçok açığını yamayan TikTok üzerinde yapılan çalışma ise “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusuna ‘evet’ yanıtını verdi.

AÇIK “ARKADAŞ BUL” SEÇENEĞİNDE

Chech Point Research araştırmacıları Eran Vaknin, Alon Boxiner tarafından yapılan araştırma TikTok’un gizliliğini inceledi. Böylelikle kullanıcı verileriyle ilişkili tüm eylemlere odaklanan araştırmacılar gizlilik açığını TikTok kullanıcılarının tanıyor olabilecekleri kişileri kolayca bulmasını sağlayan “Arkadaş Bul” seçeneğinde buldu.

TikTok uygulamasında “Arkadaş Bul” seçeneğine tıkladığınızda rehberinizdeki kişiler, hash fonksiyonuyla dizilenmiş kişi adları ve telefon numaralarından oluşan bir liste şeklinde HTTP isteği aracılığıyla uygulamaya yükleniyor.

Mavi Balina tehlikesinden çocukları korumanın 7 yolu

Bir sonraki adımda, önceki istekte gönderilen telefon numaralarına bağlı TikTok profillerini alan ikinci bir HTTP isteği gönderiyor. Alınan bu cevapta profil adları, telefon numaraları, fotoğraflar ve profillerle ilgili bilgiler yer alıyor.

Check Point araştırmacıları, elektronik olarak kısıtlanmış bir kaynağa erişmek için kullanılan “X-Tt-Token” belirteci kullanarak “Arkadaş Bul” seçeneğinin diğer bir adımı olan senkronizasyonla isteğinin günlük 500 kişi limitinden kurtulmak için cihaz tanımlayıcısını ele geçirdi. Daha sonra istekler üzerinde oynama yapabildiklerini keşfeden araştırmacılar “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusunun yanıtını buldu.

TEHDİT AKTÖRLERİ VERİTABANI OLUŞTURABİLİRDİ

Bulunan güvenlik açığıyla tehdit aktörlerinin, HTTP isteklerini manipüle ederek kullanıcıların karşıya yüklemelerine ve kişilerini senkronize etmelerine olanak tanıyan “Arkadaş Bul” seçeneğiyle kimlik hırsızlığı gibi saldırılarda kullanılabilecek kullanıcı ve telefon numaralarından oluşan bir veritabanı oluşturabilecekleri ortaya çıkarıldı.

GÜVENLİK AÇIĞI GİDERİLDİ

Konuyla ilgili açıklama yapan Check Point Ürün Güvenlik Açıkları Araştırma Başkanı Oded Vanunu, “Birincil motivasyonumuz TikTok’un gizliliğini keşfetmekti. TikTok platformunun özel kullanıcı verilerine erişim için kullanılıp kullanılamayacağını merak ettik. TikTok’un gizlilik ihlaline neden olan birden fazla koruma mekanizmasını atlatmayı başardık. Güvenlik açığı, bir saldırganın kullanıcı ayrıntıları ve ilgili telefon numaralarından oluşan bir veritabanı oluşturmasına olanak verebilirdi. Bu derecede hassas bilgilere sahip bir saldırgan, hedefli kimlik avı veya diğer suç eylemleri gibi bir dizi kötü amaçlı etkinlik gerçekleştirebilir” ifadelerini kullandı.

Güvenlik açığı, bir yama ile düzeltilse de uygulama ile ilgili soru işaretleri devam ediyor.

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz