Advert
Advert
Bu haber 13 Kasım 2017 11:16:19 Tarihinde eklenmiştir. 280 Defa Okundu.

İstenmeyen Posta Güvenlik Açığı Yüzlerce Mobil Uygulamayı Açıyor

Perşembe günü yetkililer , kurumsal mobil ortamda, resmi uygulama mağazalarında yaşayan 170'i aşkın uygulamayı içeren 700'e kadar çıkan uygulamaların, İstenmeyen durum savunmasızlığına karşı risk altında olabileceği konusunda uyarıda bulundu.

İstenmeyen Posta Güvenlik Açığı Yüzlerce Mobil Uygulamayı Açıyor

Etkilenen Android uygulamaları, son araştırmalarına dayanarak, 180 milyon kez indirilmiş olabilir, dedi.

Appthority, güvenlik açığı büyük ölçekli veri maruziyetiyle sonuçlandığını söyledi.

Eavesdropper, Appthority'e göre , geliştiricilerin sertifika kodlamalarını, Twilio Rest API'sini veya SDK'yi kullanan mobil uygulamalara dönüştürmesinin sonucudur. Twilio'nun kendi belgelerinde önerdiği en iyi uygulamalara aykırıdır ve Twilio, hesapları güvence altına almak için etkilenen uygulamalar bulunan kişiler de dahil olmak üzere, geliştirme topluluğuna ulaşmıştır.

Appthority'nin Mobil Tehdit Ekibi ilk olarak Nisan ayında güvenlik açığını keşfetti ve Twilio'ya Temmuz ayındaki maruz kalmış hesapları bildirdi.

Güvenlik açığı, arama kayıtları, mobil cihazlarda yapılan görüşmelerin dakikaları ve sesli kayıtların dakika araması gibi SMS ve MMS metin mesajlarının içeriği de dahil olmak üzere büyük miktarda hassas ve hatta tarihi veriler ortaya çıkıyor.

Riskin Azaltılması

Bir kuruluş için en iyi yaklaşım, Ortamdaki Eavesdropper'a karşı savunmasız uygulamaları belirlemek ve uygulamanın sunduğu verilerin hassas olup olmadığını belirlemek, Appthority tarafından önerilmektedir.

Güvenlik araştırmasının başvuru müdürü Seth Hardy, "Tüm konuşmalar gizli bilgiler içermez ve uygulamanın işletme içerisindeki kullanımı hassas veya endişe verici verileri içermez" dedi.

"Mesajlar, ses içeriği ya da çağrı meta verileri hassas ya da mülkiyete dönüşürse, uygulamanın daha önce kullanılmasından kaynaklanan maruz kalmış konuşmalar hakkında yapılabilecek çok şey olmayabilir" diye belirtti TechNewsWorld'a.

Hardy, "Bununla birlikte, geliştiriciye düzeltme konusunu ele alıp doğrulayan veya kaçıran güvenlik açığı olmadan aynı veya benzer işlevlere sahip alternatif bir uygulama bulmak da dahil olmak üzere gelecekteki olası etkileri korumak için çok şey yapılabilir" dedi. "Her durumda, şirketler maruz kaldıkları dosyaları silmek için geliştiricilere başvurmalıdır."

Özensiz Kodlama

Kulak misafiri açığı Twilio istirahat API veya SDK kullanılarak oluşturulan uygulamalar ile sınırlı değildir, Appthority gibi sert-kodlama kimlik bilgilerinin mobil uygulamalarda güvenlik risklerini artırabilir genel geliştirici hatasıdır, dikkat çekti.

Tellus Venture Associates'in baş analisti Steve Blum, "Temel sorun geliştiricinin tembelliğidir, bu nedenle Appthority'nin bulduğu belirli bir vahiy değildir" dedi .

"Bir uygulamayı geliştirirken bir kodlayıcı kadar sonra temizleme şeylerin içten niyetiyle, kısayolları almak için çok cazip gibi kötü sonuçlara yol açan kötü uygulamaların sadece bir örnek daha var" diye TechNewsWorld söyledi.

Blum, "Tek bir kişi veya küçük bir ekip tarafından geliştirilen uygulamalarla rutin kalite kontrol kontrolleri yok" dedi. "Şimdilik mağazaları dolaşıyor - başta Apple ve Android olmak üzere - QC işi yapmak, ve bu özel soruna bir göz attığına ve kodlanmış kimlik bilgileri için daha ayrıntılı bir şekilde taranabileceğine bahse girerim. geleceği."

Güvenlik ve gizlilik ilk önce gelmek için, genel olarak kodlamanın bir paradigma kayması yaşaması gerekebilir, önerdiği Roger Entner, Temel Analist, Recon Analytics'te .

TechNewsWorld'a "Maalesef güvenlik sıklıkla bir maliyet merkezi olarak görülüyor ve gizlilik uygulaması geliştiren şirket için gelir üreticisi olarak görülüyor" dedi.

Entner, "Bu nedenle, uygulamalar maliyeti en aza indirgemek ve geliri en üst düzeye çıkarmak için genellikle güvenli değil - gizlilik mevcut değil" dedi. "Bu ihlallerle savaşmanın tek yolu, tüketicilerin kullandığı uygulamalar için tam fiyat ödemek ve reklam destekli uygulamaları reddetmektir."

Kolay Düzeltme Yok

Bu güvenlik açığıyla ilgili en endişe verici gerçeklerden biri, Eavesdropper'ın jailbreak'e veya aygıtın köküne dayanmadığıdır. Bilinen diğer işletim sistemi açıklarından da yararlanmaz.

Ayrıca, etkilenen uygulama bir kullanıcının aygıtından kaldırıldıktan sonra güvenlik açığı giderilmez. Bunun yerine, kimlik bilgileri düzgün bir şekilde güncellene kadar uygulama verilerine maruz kalıyor.

Tirias Research'in baş analisti Paul Teich, "Etkilenen tüm uygulamaları kaldırmadan ve verilerin tehlikeye atılmadığını umarak tüketici için geçici çözüm yok" dedi .

Bazı kullanıcılar, kişisel bilgilerini tehlikeye atabilecek uygulamalarla önceden yüklenmiş telefonları satın alabilir.

Teich TechNewsWorld'e verdiği demeçte, "Twilio, geliştiricileri, tüm erişim kimlik bilgilerini geçersiz hale getirerek veya erişim kaynaklarını yetki verilen API'lere kaldırarak uygulama kodlarını güncelleştirmeye zorlayabilir" dedi.

Bununla birlikte, "ani etki, çok değerli tüketici akıllı telefonu uygulaması ve hizmetlerinin hepsinin aynı anda çalışmayı bırakması olacak" dedi.

Kullanıcıların çok az seçeneğe sahip oldukları ve tüketicilerin Kulak misafiri etkilenen uygulamalarıyla ilgili görünürlüğü bile zorlaştırabilecekleri görülüyor.

Bir şirkette çalışanlar "BT güvenlik ekibinden onaylanan bir uygulama listesi isteyebilir ve daha sonra savunmasız uygulamaları silebilir ve bunun yerine Sakıncalılardan etkilenen uygulamaları yükleyebilir" Appthority's Hardy önerdi.

Tirias'ın Teich, "Hâlâ, değerli servislere erişim sağlamaya devam ederken, bu ihlalden gelen bilgilerin akışını nasıl durduracaklarını" belirtti.

Geliştiriciler özensiz olduklarından bu durum küçük bir bölümde gerçekleşti. Bununla birlikte, tüketici tutumları da muhtemelen bir rol oynamıştır. Birçok kişi, mobil cihaz güvenliği üzerinde kullanım kolaylığını tercih etmektedir.

Recon Analytics'in Entner, "Tüketiciler hala gizlilikleri konusunda çok rahat ve ödeme yapmamayı tercih ediyorlar" diyor, bunun yerine gizliliklerinden para kazanmak ve şaşaalı kodlanmış uygulamalarla tehlikeye atmak zorunda kaldıklarını söyledi. 

Editör Ramazan Cengiz
Etiketler
Yorum Yap
Teknoloji
General Mobile, İki Yeni Ürününü Mobile World Congress’de Dünyaya Tanıtacak
General Mobile, İki Yeni Ürününü Mobile World Congress’de Dünyaya Tanıtacak
Barcelona’da düzenlenecek olan MWC’de (Dünya Mobil Kongresi) Google iş ortaklığıyla geliştirdiği iki yeni modelinin dünya prömiyerini gerçekleştirecek.
Huawei, Mobil Dünya Kongresi’nde 20’den fazla yeni ürün tanıtacak
Huawei, Mobil Dünya Kongresi’nde 20’den fazla yeni ürün tanıtacak
Dünyanın önde gelen bilgi ve iletişim teknolojileri firmalarından biri olan Huawei, MWC’de “Daha İyi Bir Gelecek için ROADS” temasıyla etkinlik düzenleyecek. Daha iyi bir geleceği iş ortaklarıyla birlikte şekillendirmeyi amaçlayan Huawei, akıllı bir dünya için çalışmalarını sürdürüyor.
Sanat Eserlerinin Güvenliği Rfıd Teknolojisine Emanet
Sanat Eserlerinin Güvenliği Rfıd Teknolojisine Emanet
Müze ve sanat merkezlerinde sergilenen nadide eserlerin güvenliğini sağlamakta kullanılan geleneksel sistemler, zahmetli bir işçilik gerektiriyor ve mekân içinde tasarım değişikliğine izin vermiyor. Sensormatic bu eserlerin korunmasına yönelik RFID çözümleri sunuyor.
Siber suçlular, kullanıcıları Dünya Kupası ve Bitcoin ile kandırıyor
Siber suçlular, kullanıcıları Dünya Kupası ve Bitcoin ile kandırıyor
Kaspersky Lab’in “2017’de spam ve kimlik avı” raporuna göre, suçlular global gündemi takip ederek, kullanıcıları kandırıp paralarını veya kişisel bilgilerini çalmak için son 12 ayda FIFA 2018 Dünya Kupası ve Bitcoin gibi konuları kullandı.
Üniversite Öğrencileri Otomobilin “1,5 Adana” sını ürettiler
Üniversite Öğrencileri Otomobilin “1,5 Adana” sını ürettiler
Mühendislik-Mimarlık Fakültesi Makine Mühendisliği ve Elektrik-Elektronik Mühendisliği Bölümü öğrencileri tarafından üretimi gerçekleştirilen '1,5 Adana' isimli elektrikli otomobil, kentin buluşma noktası Adana Optimum Alışveriş ve Eğlence Merkezi’nde sergilendi.
HONOR, yenilikçi ürünleri ve genç marka ruhuyla Türkiye'ye geliyor!
HONOR, yenilikçi ürünleri ve genç marka ruhuyla Türkiye'ye geliyor!
Akıllı telefon dünyasının ödüllü markası HONOR, yenilikçi ürünleri ve genç marka ruhuyla Türkiye’ye geliyor!
Finans Sektörü Oyuncuları Yapay Zeka ile Ayrışacak
Finans Sektörü Oyuncuları Yapay Zeka ile Ayrışacak
Türkiye Yapay Zeka Zirvesi gerçekleşti. Zirvede konuşma yapan Anadolu Sigorta Genel Müdürü Yardımcısı Mehmet Abacı, bu konuda sigorta sektöründe yaşanan gelişmeleri ve Anadolu Sigorta’nın öncü uygulamalarını katılımcılarla paylaştı.
Kaspersky Lab, Yapılan Bağımsız Testlerde Beş Yıldır İlk Sırada Yer Alıyor
Kaspersky Lab, Yapılan Bağımsız Testlerde Beş Yıldır İlk Sırada Yer Alıyor
Kaspersky Lab, yapılan bağımsız testlere göre belirlenen TOP3 siber güvenlik ölçümlerinde üst üste beşinci kez ilk sırada yer aldı.
Enerji sektöründe siber güvenlik sistemleri  ihtiyacı karşılamıyor
Enerji sektöründe siber güvenlik sistemleri ihtiyacı karşılamıyor
EY’nin Küresel Bilgi Güvenliği 2017-18 Araştırması sonuçlarına göre; enerji dağıtım sektörü firmalarının tamamı siber güvenlik sistemlerinin şirket ihtiyacını karşılamadığını belirtiyor. Katılımcıların %85’i ise şirketlerinde düzenli olarak kriz senaryolarını test eden ve olası bir siber güvenlik ihlaline karşı etkin kriz yönetimi sağlayacak bir program olmadığını ifade ediyor
​Microsoft Teknoloji Zirvesi 21 Şubat'ta Haliç Kongre Merkezi'nde
​Microsoft Teknoloji Zirvesi 21 Şubat'ta Haliç Kongre Merkezi'nde
Microsoft Teknoloji Zirvesi kapsamında gerçekleşecek CEO’ların Ajandası: Dijital Dönüşüm panelinde Boyner Grup CEO’su Cem Boyner, Denizbank Finansal Hizmetler CEO’su Hakan Ateş ve Pegasus Havayolları Genel Müdürü Mehmet Nane de konuşmacı olarak yer alacak.
​Geleceğin teknolojileri Microsoft Teknoloji Zirvesi’nde
​Geleceğin teknolojileri Microsoft Teknoloji Zirvesi’nde
21 Şubat Çarşamba günü İstanbul Haliç Kongre Merkezi’nde gerçekleştirilecek zirvede CEO'lar dijital dönüşüm stratejilerini paylaşırken, Yapay Zeka, Blockchain, Sanal Gerçeklik ve Siber Güvenlik gibi yenilikçi teknolojiler alanında uzman konuşmacılar tarafından masaya yatırılacak
APPLE Kullanıcıları Dikkat! Telefonunuz Çökebilir
APPLE Kullanıcıları Dikkat! Telefonunuz Çökebilir
APPLE Kullanıcıları Dikkat! Telefonunuz Çökebilir,Tek Karakterli Bir Mesaj APPLE Cihazınızı Çökertebilir,Bu Mesajı Alırsanız Sakın Açmayın
Advert
Advert
NAMAZ VAKİTLERİ
İmsak
05:37
Güneş
06:59
Öğle
12:46
İkindi
15:49
Akşam
18:20
Yatsı
19:35
Advert