Advert
Advert
Bu haber 13 Kasım 2017 11:16:19 Tarihinde eklenmiştir. 210 Defa Okundu.

İstenmeyen Posta Güvenlik Açığı Yüzlerce Mobil Uygulamayı Açıyor

Perşembe günü yetkililer , kurumsal mobil ortamda, resmi uygulama mağazalarında yaşayan 170'i aşkın uygulamayı içeren 700'e kadar çıkan uygulamaların, İstenmeyen durum savunmasızlığına karşı risk altında olabileceği konusunda uyarıda bulundu.

İstenmeyen Posta Güvenlik Açığı Yüzlerce Mobil Uygulamayı Açıyor

Etkilenen Android uygulamaları, son araştırmalarına dayanarak, 180 milyon kez indirilmiş olabilir, dedi.

Appthority, güvenlik açığı büyük ölçekli veri maruziyetiyle sonuçlandığını söyledi.

Eavesdropper, Appthority'e göre , geliştiricilerin sertifika kodlamalarını, Twilio Rest API'sini veya SDK'yi kullanan mobil uygulamalara dönüştürmesinin sonucudur. Twilio'nun kendi belgelerinde önerdiği en iyi uygulamalara aykırıdır ve Twilio, hesapları güvence altına almak için etkilenen uygulamalar bulunan kişiler de dahil olmak üzere, geliştirme topluluğuna ulaşmıştır.

Appthority'nin Mobil Tehdit Ekibi ilk olarak Nisan ayında güvenlik açığını keşfetti ve Twilio'ya Temmuz ayındaki maruz kalmış hesapları bildirdi.

Güvenlik açığı, arama kayıtları, mobil cihazlarda yapılan görüşmelerin dakikaları ve sesli kayıtların dakika araması gibi SMS ve MMS metin mesajlarının içeriği de dahil olmak üzere büyük miktarda hassas ve hatta tarihi veriler ortaya çıkıyor.

Riskin Azaltılması

Bir kuruluş için en iyi yaklaşım, Ortamdaki Eavesdropper'a karşı savunmasız uygulamaları belirlemek ve uygulamanın sunduğu verilerin hassas olup olmadığını belirlemek, Appthority tarafından önerilmektedir.

Güvenlik araştırmasının başvuru müdürü Seth Hardy, "Tüm konuşmalar gizli bilgiler içermez ve uygulamanın işletme içerisindeki kullanımı hassas veya endişe verici verileri içermez" dedi.

"Mesajlar, ses içeriği ya da çağrı meta verileri hassas ya da mülkiyete dönüşürse, uygulamanın daha önce kullanılmasından kaynaklanan maruz kalmış konuşmalar hakkında yapılabilecek çok şey olmayabilir" diye belirtti TechNewsWorld'a.

Hardy, "Bununla birlikte, geliştiriciye düzeltme konusunu ele alıp doğrulayan veya kaçıran güvenlik açığı olmadan aynı veya benzer işlevlere sahip alternatif bir uygulama bulmak da dahil olmak üzere gelecekteki olası etkileri korumak için çok şey yapılabilir" dedi. "Her durumda, şirketler maruz kaldıkları dosyaları silmek için geliştiricilere başvurmalıdır."

Özensiz Kodlama

Kulak misafiri açığı Twilio istirahat API veya SDK kullanılarak oluşturulan uygulamalar ile sınırlı değildir, Appthority gibi sert-kodlama kimlik bilgilerinin mobil uygulamalarda güvenlik risklerini artırabilir genel geliştirici hatasıdır, dikkat çekti.

Tellus Venture Associates'in baş analisti Steve Blum, "Temel sorun geliştiricinin tembelliğidir, bu nedenle Appthority'nin bulduğu belirli bir vahiy değildir" dedi .

"Bir uygulamayı geliştirirken bir kodlayıcı kadar sonra temizleme şeylerin içten niyetiyle, kısayolları almak için çok cazip gibi kötü sonuçlara yol açan kötü uygulamaların sadece bir örnek daha var" diye TechNewsWorld söyledi.

Blum, "Tek bir kişi veya küçük bir ekip tarafından geliştirilen uygulamalarla rutin kalite kontrol kontrolleri yok" dedi. "Şimdilik mağazaları dolaşıyor - başta Apple ve Android olmak üzere - QC işi yapmak, ve bu özel soruna bir göz attığına ve kodlanmış kimlik bilgileri için daha ayrıntılı bir şekilde taranabileceğine bahse girerim. geleceği."

Güvenlik ve gizlilik ilk önce gelmek için, genel olarak kodlamanın bir paradigma kayması yaşaması gerekebilir, önerdiği Roger Entner, Temel Analist, Recon Analytics'te .

TechNewsWorld'a "Maalesef güvenlik sıklıkla bir maliyet merkezi olarak görülüyor ve gizlilik uygulaması geliştiren şirket için gelir üreticisi olarak görülüyor" dedi.

Entner, "Bu nedenle, uygulamalar maliyeti en aza indirgemek ve geliri en üst düzeye çıkarmak için genellikle güvenli değil - gizlilik mevcut değil" dedi. "Bu ihlallerle savaşmanın tek yolu, tüketicilerin kullandığı uygulamalar için tam fiyat ödemek ve reklam destekli uygulamaları reddetmektir."

Kolay Düzeltme Yok

Bu güvenlik açığıyla ilgili en endişe verici gerçeklerden biri, Eavesdropper'ın jailbreak'e veya aygıtın köküne dayanmadığıdır. Bilinen diğer işletim sistemi açıklarından da yararlanmaz.

Ayrıca, etkilenen uygulama bir kullanıcının aygıtından kaldırıldıktan sonra güvenlik açığı giderilmez. Bunun yerine, kimlik bilgileri düzgün bir şekilde güncellene kadar uygulama verilerine maruz kalıyor.

Tirias Research'in baş analisti Paul Teich, "Etkilenen tüm uygulamaları kaldırmadan ve verilerin tehlikeye atılmadığını umarak tüketici için geçici çözüm yok" dedi .

Bazı kullanıcılar, kişisel bilgilerini tehlikeye atabilecek uygulamalarla önceden yüklenmiş telefonları satın alabilir.

Teich TechNewsWorld'e verdiği demeçte, "Twilio, geliştiricileri, tüm erişim kimlik bilgilerini geçersiz hale getirerek veya erişim kaynaklarını yetki verilen API'lere kaldırarak uygulama kodlarını güncelleştirmeye zorlayabilir" dedi.

Bununla birlikte, "ani etki, çok değerli tüketici akıllı telefonu uygulaması ve hizmetlerinin hepsinin aynı anda çalışmayı bırakması olacak" dedi.

Kullanıcıların çok az seçeneğe sahip oldukları ve tüketicilerin Kulak misafiri etkilenen uygulamalarıyla ilgili görünürlüğü bile zorlaştırabilecekleri görülüyor.

Bir şirkette çalışanlar "BT güvenlik ekibinden onaylanan bir uygulama listesi isteyebilir ve daha sonra savunmasız uygulamaları silebilir ve bunun yerine Sakıncalılardan etkilenen uygulamaları yükleyebilir" Appthority's Hardy önerdi.

Tirias'ın Teich, "Hâlâ, değerli servislere erişim sağlamaya devam ederken, bu ihlalden gelen bilgilerin akışını nasıl durduracaklarını" belirtti.

Geliştiriciler özensiz olduklarından bu durum küçük bir bölümde gerçekleşti. Bununla birlikte, tüketici tutumları da muhtemelen bir rol oynamıştır. Birçok kişi, mobil cihaz güvenliği üzerinde kullanım kolaylığını tercih etmektedir.

Recon Analytics'in Entner, "Tüketiciler hala gizlilikleri konusunda çok rahat ve ödeme yapmamayı tercih ediyorlar" diyor, bunun yerine gizliliklerinden para kazanmak ve şaşaalı kodlanmış uygulamalarla tehlikeye atmak zorunda kaldıklarını söyledi. 

Editör Ramazan Cengiz
Etiketler
Yorum Yap
Teknoloji
Mardin’de El Yapımı Patlayıcı Ele Geçirildi.
Mardin’de El Yapımı Patlayıcı Ele Geçirildi.
Mardin’de 30 litrelik bidon içinde el yapımı patlayıcı ile çok sayıda düzenek ele geçirildi.
iPhone X'in Face İD'sini Bir Maske ile Kırdılar
iPhone X'in Face İD'sini Bir Maske ile Kırdılar
​Apple, yeni iPhone X'deki yüz tanıma sisteminin fotoğrafları, taklitçuları ve maskeleri tarafından aldanmasını engellemediğini ancak bilgisayar korsanlarının bir haftadan sonra bu güvenlik yazılımının kırıldığını iddia etti
İstenmeyen Posta Güvenlik Açığı Yüzlerce Mobil Uygulamayı Açıyor
İstenmeyen Posta Güvenlik Açığı Yüzlerce Mobil Uygulamayı Açıyor
Perşembe günü yetkililer , kurumsal mobil ortamda, resmi uygulama mağazalarında yaşayan 170'i aşkın uygulamayı içeren 700'e kadar çıkan uygulamaların, İstenmeyen durum savunmasızlığına karşı risk altında olabileceği konusunda uyarıda bulundu.
İnternete ve Televizyona Saatler Ayırırken Kitap Okumaya Zaman Ayırmıyoruz
İnternete ve Televizyona Saatler Ayırırken Kitap Okumaya Zaman Ayırmıyoruz
Şanlıurfa'nın Siverek ilçesi Teknik ve Mesleki Anadolu Lisesi kütüphanesine kitap bağışında bulunan HÜDA PAR Siverek İlçe Başkanı Abdulrahim Sımak, "Toplum olarak internete ve televizyona saatler ayırırken, kitap okumaya zaman ayırmıyoruz." dedi.
Snapchat'a Büyük Bir Yeniden Tasarım Geliyor
Snapchat'a Büyük Bir Yeniden Tasarım Geliyor
Snapchat CEO'su Evan Spiegel, Snapchat uygulamasının önemli bir revizyonu üzerinde çalıştığını açıkladı.
Twitter Artık 280 Karakter Uygulamasına Geçti
Twitter Artık 280 Karakter Uygulamasına Geçti
Sosyal paylaşım sitesi Twitter, 140 olan karakter sınırlamasını bugün itibariyle 280'e çıkardı.
Google Asistan Artık Hangi Şarkının Yakınınızda Çaldığını Söyleyebilir
Google Asistan Artık Hangi Şarkının Yakınınızda Çaldığını Söyleyebilir
Google Asistan, bugün Google Asistanı'na sahip tüm cihazlara gelen bir güncellemede hangi şarkının etrafınızda çalan şarkı olduğunu belirleyebiliyor.
Otomobil Teknolojisinde Kendi Kendine Sürüş Devriminin Arifesi
Otomobil Teknolojisinde Kendi Kendine Sürüş Devriminin Arifesi
On yıl önce kendi kendine gidebilen veya yarı otonom otomobiller hakkında pek fazla konuşma yapılmadı, ancak Toyota ve Lexus kendi kendine park etme özelliği olan arabalarıyla sahneyi belirliyordu.
Facebook Arkadaş Sayısı 5000 den Fazla Nasıl Yapabilirim
Facebook Arkadaş Sayısı 5000 den Fazla Nasıl Yapabilirim
Dünyanın en çok kullanılan sosyal ağı facebook kullanıcılarına üzücü haberi duyurdu, Arkadaş listemi 5000 kişiden fazla nasıl yapabilirim sorusuna cevap verdi.
iPhone Kullanıcıları Twitter'da i Harfi İsyanı Başlattı Neden mi?
iPhone Kullanıcıları Twitter'da i Harfi İsyanı Başlattı Neden mi?
Apple yeni piyasaya sürdüğü İOS 11.1 güncellemesinde mesaj yazmak isteyenler "i" büyük harfle "I" olarak yazılan ve ingilizcede en çok kullanılan harf bu güncelleme ile birlikte yazılamıyor.
Çin, Sahtekâr online alışveriş sitelerine para cezası Kesecek
Çin, Sahtekâr online alışveriş sitelerine para cezası Kesecek
Çin, internet alışveriş sitelerinde, ürünlerine yönelik yanlış reklamlar yayınlayan online alışveriş sitelerine ağır para cezaları vermek üzere yeni bir kanun hazırladı.
Şırnak'ta Hava Destekli Operasyonda 9 PKK'li Etkisiz Hale Getirildi
Şırnak'ta Hava Destekli Operasyonda 9 PKK'li Etkisiz Hale Getirildi
Şırnak Valiliği tarafından yapılan açıklamada, Bestler Dereler Bölgesi'nde gerçekleştirilen operasyonda 9 PKK'linin öldürüldüğü belirtildi.
Advert
Advert
NAMAZ VAKİTLERİ
İmsak
05:40
Güneş
07:06
Öğle
12:19
İkindi
14:55
Akşam
17:19
Yatsı
18:38
Advert