Advert
Advert
Bu haber 13 Kasım 2017 11:16:19 Tarihinde eklenmiştir.

İstenmeyen Posta Güvenlik Açığı Yüzlerce Mobil Uygulamayı Açıyor

Perşembe günü yetkililer , kurumsal mobil ortamda, resmi uygulama mağazalarında yaşayan 170'i aşkın uygulamayı içeren 700'e kadar çıkan uygulamaların, İstenmeyen durum savunmasızlığına karşı risk altında olabileceği konusunda uyarıda bulundu.

İstenmeyen Posta Güvenlik Açığı Yüzlerce Mobil Uygulamayı Açıyor

Etkilenen Android uygulamaları, son araştırmalarına dayanarak, 180 milyon kez indirilmiş olabilir, dedi.

Appthority, güvenlik açığı büyük ölçekli veri maruziyetiyle sonuçlandığını söyledi.

Eavesdropper, Appthority'e göre , geliştiricilerin sertifika kodlamalarını, Twilio Rest API'sini veya SDK'yi kullanan mobil uygulamalara dönüştürmesinin sonucudur. Twilio'nun kendi belgelerinde önerdiği en iyi uygulamalara aykırıdır ve Twilio, hesapları güvence altına almak için etkilenen uygulamalar bulunan kişiler de dahil olmak üzere, geliştirme topluluğuna ulaşmıştır.

Appthority'nin Mobil Tehdit Ekibi ilk olarak Nisan ayında güvenlik açığını keşfetti ve Twilio'ya Temmuz ayındaki maruz kalmış hesapları bildirdi.

Güvenlik açığı, arama kayıtları, mobil cihazlarda yapılan görüşmelerin dakikaları ve sesli kayıtların dakika araması gibi SMS ve MMS metin mesajlarının içeriği de dahil olmak üzere büyük miktarda hassas ve hatta tarihi veriler ortaya çıkıyor.

Riskin Azaltılması

Bir kuruluş için en iyi yaklaşım, Ortamdaki Eavesdropper'a karşı savunmasız uygulamaları belirlemek ve uygulamanın sunduğu verilerin hassas olup olmadığını belirlemek, Appthority tarafından önerilmektedir.

Güvenlik araştırmasının başvuru müdürü Seth Hardy, "Tüm konuşmalar gizli bilgiler içermez ve uygulamanın işletme içerisindeki kullanımı hassas veya endişe verici verileri içermez" dedi.

"Mesajlar, ses içeriği ya da çağrı meta verileri hassas ya da mülkiyete dönüşürse, uygulamanın daha önce kullanılmasından kaynaklanan maruz kalmış konuşmalar hakkında yapılabilecek çok şey olmayabilir" diye belirtti TechNewsWorld'a.

Hardy, "Bununla birlikte, geliştiriciye düzeltme konusunu ele alıp doğrulayan veya kaçıran güvenlik açığı olmadan aynı veya benzer işlevlere sahip alternatif bir uygulama bulmak da dahil olmak üzere gelecekteki olası etkileri korumak için çok şey yapılabilir" dedi. "Her durumda, şirketler maruz kaldıkları dosyaları silmek için geliştiricilere başvurmalıdır."

Özensiz Kodlama

Kulak misafiri açığı Twilio istirahat API veya SDK kullanılarak oluşturulan uygulamalar ile sınırlı değildir, Appthority gibi sert-kodlama kimlik bilgilerinin mobil uygulamalarda güvenlik risklerini artırabilir genel geliştirici hatasıdır, dikkat çekti.

Tellus Venture Associates'in baş analisti Steve Blum, "Temel sorun geliştiricinin tembelliğidir, bu nedenle Appthority'nin bulduğu belirli bir vahiy değildir" dedi .

"Bir uygulamayı geliştirirken bir kodlayıcı kadar sonra temizleme şeylerin içten niyetiyle, kısayolları almak için çok cazip gibi kötü sonuçlara yol açan kötü uygulamaların sadece bir örnek daha var" diye TechNewsWorld söyledi.

Blum, "Tek bir kişi veya küçük bir ekip tarafından geliştirilen uygulamalarla rutin kalite kontrol kontrolleri yok" dedi. "Şimdilik mağazaları dolaşıyor - başta Apple ve Android olmak üzere - QC işi yapmak, ve bu özel soruna bir göz attığına ve kodlanmış kimlik bilgileri için daha ayrıntılı bir şekilde taranabileceğine bahse girerim. geleceği."

Güvenlik ve gizlilik ilk önce gelmek için, genel olarak kodlamanın bir paradigma kayması yaşaması gerekebilir, önerdiği Roger Entner, Temel Analist, Recon Analytics'te .

TechNewsWorld'a "Maalesef güvenlik sıklıkla bir maliyet merkezi olarak görülüyor ve gizlilik uygulaması geliştiren şirket için gelir üreticisi olarak görülüyor" dedi.

Entner, "Bu nedenle, uygulamalar maliyeti en aza indirgemek ve geliri en üst düzeye çıkarmak için genellikle güvenli değil - gizlilik mevcut değil" dedi. "Bu ihlallerle savaşmanın tek yolu, tüketicilerin kullandığı uygulamalar için tam fiyat ödemek ve reklam destekli uygulamaları reddetmektir."

Kolay Düzeltme Yok

Bu güvenlik açığıyla ilgili en endişe verici gerçeklerden biri, Eavesdropper'ın jailbreak'e veya aygıtın köküne dayanmadığıdır. Bilinen diğer işletim sistemi açıklarından da yararlanmaz.

Ayrıca, etkilenen uygulama bir kullanıcının aygıtından kaldırıldıktan sonra güvenlik açığı giderilmez. Bunun yerine, kimlik bilgileri düzgün bir şekilde güncellene kadar uygulama verilerine maruz kalıyor.

Tirias Research'in baş analisti Paul Teich, "Etkilenen tüm uygulamaları kaldırmadan ve verilerin tehlikeye atılmadığını umarak tüketici için geçici çözüm yok" dedi .

Bazı kullanıcılar, kişisel bilgilerini tehlikeye atabilecek uygulamalarla önceden yüklenmiş telefonları satın alabilir.

Teich TechNewsWorld'e verdiği demeçte, "Twilio, geliştiricileri, tüm erişim kimlik bilgilerini geçersiz hale getirerek veya erişim kaynaklarını yetki verilen API'lere kaldırarak uygulama kodlarını güncelleştirmeye zorlayabilir" dedi.

Bununla birlikte, "ani etki, çok değerli tüketici akıllı telefonu uygulaması ve hizmetlerinin hepsinin aynı anda çalışmayı bırakması olacak" dedi.

Kullanıcıların çok az seçeneğe sahip oldukları ve tüketicilerin Kulak misafiri etkilenen uygulamalarıyla ilgili görünürlüğü bile zorlaştırabilecekleri görülüyor.

Bir şirkette çalışanlar "BT güvenlik ekibinden onaylanan bir uygulama listesi isteyebilir ve daha sonra savunmasız uygulamaları silebilir ve bunun yerine Sakıncalılardan etkilenen uygulamaları yükleyebilir" Appthority's Hardy önerdi.

Tirias'ın Teich, "Hâlâ, değerli servislere erişim sağlamaya devam ederken, bu ihlalden gelen bilgilerin akışını nasıl durduracaklarını" belirtti.

Geliştiriciler özensiz olduklarından bu durum küçük bir bölümde gerçekleşti. Bununla birlikte, tüketici tutumları da muhtemelen bir rol oynamıştır. Birçok kişi, mobil cihaz güvenliği üzerinde kullanım kolaylığını tercih etmektedir.

Recon Analytics'in Entner, "Tüketiciler hala gizlilikleri konusunda çok rahat ve ödeme yapmamayı tercih ediyorlar" diyor, bunun yerine gizliliklerinden para kazanmak ve şaşaalı kodlanmış uygulamalarla tehlikeye atmak zorunda kaldıklarını söyledi. 

Editör Ramazan Cengiz
Etiketler
Yorum Yap
Teknoloji
​Oyun Tutkunları CNR Games Week’e Akın Etti
​Oyun Tutkunları CNR Games Week’e Akın Etti
Çocuk ve yetişkinlerin heyecanla ziyaret ettiği Video Oyunları ve Teknoloji Fuarı CNR Games Week İstanbul, 6-10 Haziran tarihlerinde CNR EXPO Yeşilköy’de gerçekleştirildi.
​Gelecek Planlamasında Önemli Adımlar Atılmalı
​Gelecek Planlamasında Önemli Adımlar Atılmalı
Müstakil Sanayici ve İşadamları Derneği (MÜSİAD) Ankara, TÜBİTAK Başkanı Prof. Dr. Hasan Mandal'ı ziyaret etti. MÜSİAD Ankara Başkanı ve DEİK Türkiye-Endonezya İş Konseyi Başkanı İlhan Erdal ve MÜSİAD Ankara Yönetim Kurulu üyeleri tarafından gerçekleştirilen ziyarette; bilişim, yazılım, sanayi ve yüksek teknolojili ürün gibi önemli konularda istişarelerde bulunuldu.
Çiftlik Banktan Sonra Bir Vurgun Daha
Çiftlik Banktan Sonra Bir Vurgun Daha
Çalışmadan para kazanmak isteyen insanarın cazip yeri olan ve Bitcoine rakip olarak gösterilen Türkiye'nin ilk digital para birimi Turkoin battı.
Yapay Zeka Artık Gerçeğe Dönüşebiliyor
Yapay Zeka Artık Gerçeğe Dönüşebiliyor
Verileri akıllı içgörülere dönüştürmek, pazara sunma süresini kısaltmak ve daha iyi iş sonuçları elde etmek için AI (Yapay Zekâ) ve ML (Makine Öğrenimi) teknolojisi kullanılıyor İstanbul, 31 Mayıs 2018 – Dell Technologies, 14. nesil Dell EMC PowerEdge dört soketli sunucuların yanı sıra yapay zekâ ve makine öğrenimi kapasitelerini daha da geliştiren Dell Precision Optimizer 5.0 yazılımını duyurdu.
​Kötü Amaçlı Kripto Madenciliği Yazılımları Tehdit Ediyor
​Kötü Amaçlı Kripto Madenciliği Yazılımları Tehdit Ediyor
Check Point'in açıkladığı Nisan 2018 Global Tehdit Endeksi, hacker’ların kripto para madenciliği yapmak için sunucu açıklarını hedef aldıklarını ortaya koyuyor.
​ASELSAN'da İkincil Halk Arz Başlayacak
​ASELSAN'da İkincil Halk Arz Başlayacak
ASELSAN Yönetim Kurulu Başkanı ve Genel Müdürü Prof. Dr. Haluk Görgün, şirketin ikincil halka arzı ile ilgili bilgilendirme toplantısında, dünya savunma sanayinin liderlerinden Türkiye’nin gözbebeği ASELSAN’ın; milletin hayali bir savunma ve teknoloji şirketi olarak ülke ekonomisine yaptığı katkıları dile getirdi.
​Teknoloji; Teknolojiye Karşı Savaş Açacak
​Teknoloji; Teknolojiye Karşı Savaş Açacak
Hızla artan nüfus artışı, sanayileşme ve şehirleşme gerek yer altı gerekse yer üstü kaynaklarının kirliliğini hızla arttırıyor. Çevre kirliliğinin en büyük sebepleri arasında her geçen gün gelişen teknolojik gelişmeler de gösteriliyor.
Saadet Partisinden İstifa İddialarına Yalanlama
Saadet Partisinden İstifa İddialarına Yalanlama
Akparti listelerinde yer bulamayan bazı isimlerin Saadet Partisinden bir kaç ismin istifa ederek yerine geçileceği iddiası gündeme bomba gibi düştü
Hamile Kalamayanlar; Bu Haber Tam Size Göre
Hamile Kalamayanlar; Bu Haber Tam Size Göre
Harvard Üniversitesi’nde yapılan araştırmaya göre, deniz ürünlerinden zengin beslenen çiftler hem daha fazla seks yapıyor hem de daha çabuk çocuk sahibi oluyor. Kadın Hastalıkları Doğum ve Tüp Bebek Uzmanı Op. Dr. Betül Görgen, araştırmanın detayları hakkında şu bilgileri verdi:
​Microsoft Imagine Cup Finalisti Belli Oldu
​Microsoft Imagine Cup Finalisti Belli Oldu
On altı yaşından büyük lise ve üniversite öğrencilerini hedefleyen dünyanın en büyük teknoloji yarışmalarından biri olarak kabul edilen Microsoft Imagine Cup 2018’in Türkiye finali gerçekleşti
Zeka Geliştiren Mükemmel 12 Tane Oyun
Zeka Geliştiren Mükemmel 12 Tane Oyun
Oyun zekayı geliştirir mi? Oyun; çocuğa öğretemeyeceğimiz konuları, kendi deneyimleriyle öğrenmesi için en uygun araçtır. Çocuk oyun esnasında duygu ve düşüncelerini açar. Deneme yanılma yolu ile problemlere çözüm getirme ve belirli riskleri göze alma deneyimi kazanır. Öyle oyunlar var ki çocuklarda zekayı geliştirir.
Dijital Bahar Temizliği Yaparken Dikkat Edilmesi Gereken Adımlar
Dijital Bahar Temizliği Yaparken Dikkat Edilmesi Gereken Adımlar
Yaz ayına gireceğimiz bu günlerde sonbahar ve kış aylarındaki yoğun çalışma temposu da yavaşlamaya başlıyor. Baharın dinamik enerjisi, şirketleri sistemlerini gözden geçirmeye ve yeni kararlar almaya davet ediyor. Bu dönem dijital güvenlik kontrolü için de oldukça ideal bir zaman şirketlerin ve bilgi güvenliği uzmanlarının dijital bahar temizliğinde yapması gerekenleri 6 adımda sıralıyor.
Advert
Advert
NAMAZ VAKİTLERİ
İmsak
03:11
Güneş
04:58
Öğle
12:34
İkindi
16:23
Akşam
19:57
Yatsı
21:36
Advert