Advert
Advert
Bu haber 13 Kasım 2017 11:16:19 Tarihinde eklenmiştir.

İstenmeyen Posta Güvenlik Açığı Yüzlerce Mobil Uygulamayı Açıyor

Perşembe günü yetkililer , kurumsal mobil ortamda, resmi uygulama mağazalarında yaşayan 170'i aşkın uygulamayı içeren 700'e kadar çıkan uygulamaların, İstenmeyen durum savunmasızlığına karşı risk altında olabileceği konusunda uyarıda bulundu.

İstenmeyen Posta Güvenlik Açığı Yüzlerce Mobil Uygulamayı Açıyor

Etkilenen Android uygulamaları, son araştırmalarına dayanarak, 180 milyon kez indirilmiş olabilir, dedi.

Appthority, güvenlik açığı büyük ölçekli veri maruziyetiyle sonuçlandığını söyledi.

Eavesdropper, Appthority'e göre , geliştiricilerin sertifika kodlamalarını, Twilio Rest API'sini veya SDK'yi kullanan mobil uygulamalara dönüştürmesinin sonucudur. Twilio'nun kendi belgelerinde önerdiği en iyi uygulamalara aykırıdır ve Twilio, hesapları güvence altına almak için etkilenen uygulamalar bulunan kişiler de dahil olmak üzere, geliştirme topluluğuna ulaşmıştır.

Appthority'nin Mobil Tehdit Ekibi ilk olarak Nisan ayında güvenlik açığını keşfetti ve Twilio'ya Temmuz ayındaki maruz kalmış hesapları bildirdi.

Güvenlik açığı, arama kayıtları, mobil cihazlarda yapılan görüşmelerin dakikaları ve sesli kayıtların dakika araması gibi SMS ve MMS metin mesajlarının içeriği de dahil olmak üzere büyük miktarda hassas ve hatta tarihi veriler ortaya çıkıyor.

Riskin Azaltılması

Bir kuruluş için en iyi yaklaşım, Ortamdaki Eavesdropper'a karşı savunmasız uygulamaları belirlemek ve uygulamanın sunduğu verilerin hassas olup olmadığını belirlemek, Appthority tarafından önerilmektedir.

Güvenlik araştırmasının başvuru müdürü Seth Hardy, "Tüm konuşmalar gizli bilgiler içermez ve uygulamanın işletme içerisindeki kullanımı hassas veya endişe verici verileri içermez" dedi.

"Mesajlar, ses içeriği ya da çağrı meta verileri hassas ya da mülkiyete dönüşürse, uygulamanın daha önce kullanılmasından kaynaklanan maruz kalmış konuşmalar hakkında yapılabilecek çok şey olmayabilir" diye belirtti TechNewsWorld'a.

Hardy, "Bununla birlikte, geliştiriciye düzeltme konusunu ele alıp doğrulayan veya kaçıran güvenlik açığı olmadan aynı veya benzer işlevlere sahip alternatif bir uygulama bulmak da dahil olmak üzere gelecekteki olası etkileri korumak için çok şey yapılabilir" dedi. "Her durumda, şirketler maruz kaldıkları dosyaları silmek için geliştiricilere başvurmalıdır."

Özensiz Kodlama

Kulak misafiri açığı Twilio istirahat API veya SDK kullanılarak oluşturulan uygulamalar ile sınırlı değildir, Appthority gibi sert-kodlama kimlik bilgilerinin mobil uygulamalarda güvenlik risklerini artırabilir genel geliştirici hatasıdır, dikkat çekti.

Tellus Venture Associates'in baş analisti Steve Blum, "Temel sorun geliştiricinin tembelliğidir, bu nedenle Appthority'nin bulduğu belirli bir vahiy değildir" dedi .

"Bir uygulamayı geliştirirken bir kodlayıcı kadar sonra temizleme şeylerin içten niyetiyle, kısayolları almak için çok cazip gibi kötü sonuçlara yol açan kötü uygulamaların sadece bir örnek daha var" diye TechNewsWorld söyledi.

Blum, "Tek bir kişi veya küçük bir ekip tarafından geliştirilen uygulamalarla rutin kalite kontrol kontrolleri yok" dedi. "Şimdilik mağazaları dolaşıyor - başta Apple ve Android olmak üzere - QC işi yapmak, ve bu özel soruna bir göz attığına ve kodlanmış kimlik bilgileri için daha ayrıntılı bir şekilde taranabileceğine bahse girerim. geleceği."

Güvenlik ve gizlilik ilk önce gelmek için, genel olarak kodlamanın bir paradigma kayması yaşaması gerekebilir, önerdiği Roger Entner, Temel Analist, Recon Analytics'te .

TechNewsWorld'a "Maalesef güvenlik sıklıkla bir maliyet merkezi olarak görülüyor ve gizlilik uygulaması geliştiren şirket için gelir üreticisi olarak görülüyor" dedi.

Entner, "Bu nedenle, uygulamalar maliyeti en aza indirgemek ve geliri en üst düzeye çıkarmak için genellikle güvenli değil - gizlilik mevcut değil" dedi. "Bu ihlallerle savaşmanın tek yolu, tüketicilerin kullandığı uygulamalar için tam fiyat ödemek ve reklam destekli uygulamaları reddetmektir."

Kolay Düzeltme Yok

Bu güvenlik açığıyla ilgili en endişe verici gerçeklerden biri, Eavesdropper'ın jailbreak'e veya aygıtın köküne dayanmadığıdır. Bilinen diğer işletim sistemi açıklarından da yararlanmaz.

Ayrıca, etkilenen uygulama bir kullanıcının aygıtından kaldırıldıktan sonra güvenlik açığı giderilmez. Bunun yerine, kimlik bilgileri düzgün bir şekilde güncellene kadar uygulama verilerine maruz kalıyor.

Tirias Research'in baş analisti Paul Teich, "Etkilenen tüm uygulamaları kaldırmadan ve verilerin tehlikeye atılmadığını umarak tüketici için geçici çözüm yok" dedi .

Bazı kullanıcılar, kişisel bilgilerini tehlikeye atabilecek uygulamalarla önceden yüklenmiş telefonları satın alabilir.

Teich TechNewsWorld'e verdiği demeçte, "Twilio, geliştiricileri, tüm erişim kimlik bilgilerini geçersiz hale getirerek veya erişim kaynaklarını yetki verilen API'lere kaldırarak uygulama kodlarını güncelleştirmeye zorlayabilir" dedi.

Bununla birlikte, "ani etki, çok değerli tüketici akıllı telefonu uygulaması ve hizmetlerinin hepsinin aynı anda çalışmayı bırakması olacak" dedi.

Kullanıcıların çok az seçeneğe sahip oldukları ve tüketicilerin Kulak misafiri etkilenen uygulamalarıyla ilgili görünürlüğü bile zorlaştırabilecekleri görülüyor.

Bir şirkette çalışanlar "BT güvenlik ekibinden onaylanan bir uygulama listesi isteyebilir ve daha sonra savunmasız uygulamaları silebilir ve bunun yerine Sakıncalılardan etkilenen uygulamaları yükleyebilir" Appthority's Hardy önerdi.

Tirias'ın Teich, "Hâlâ, değerli servislere erişim sağlamaya devam ederken, bu ihlalden gelen bilgilerin akışını nasıl durduracaklarını" belirtti.

Geliştiriciler özensiz olduklarından bu durum küçük bir bölümde gerçekleşti. Bununla birlikte, tüketici tutumları da muhtemelen bir rol oynamıştır. Birçok kişi, mobil cihaz güvenliği üzerinde kullanım kolaylığını tercih etmektedir.

Recon Analytics'in Entner, "Tüketiciler hala gizlilikleri konusunda çok rahat ve ödeme yapmamayı tercih ediyorlar" diyor, bunun yerine gizliliklerinden para kazanmak ve şaşaalı kodlanmış uygulamalarla tehlikeye atmak zorunda kaldıklarını söyledi. 

Editör Ramazan Cengiz
Etiketler
Yorum Yap
Teknoloji
​Sistem 9'dan Büyük Başarı Kategori Birincisi
​Sistem 9'dan Büyük Başarı Kategori Birincisi
Sistem 9, Türkiye’nin önde gelen sektör araştırması Bilişim 500’ün 19. yılında hem kategori birincisi oldu, hem de “En İyi Performans Gösteren 10 Bilişim Şirketi” arasında yer almayı başardı.
Filizlerin Mücizeleri Büyümeye Devam Ediyor
Filizlerin Mücizeleri Büyümeye Devam Ediyor
TürkTraktör, Mesleki ve Teknik Anadolu Liselerindeki kız öğrencileri otomotiv alanında çalışmaya teşvik etmek üzere başlattığı “Filizlerin Mucizeleri Projesi’ kapsamında gerçekleştirdiği okul ziyaretleri ve eğitimlerinin ikinci yılını tamamladı.
Michelin, Porsche ile rekora imza attı
Michelin, Porsche ile rekora imza attı
Dünyanın en büyük lastik üreticilerinden Michelin, Almanya Nordschleife pistinde Porsche’yi rekora taşıdı. Dünyanın en zorlu pisti olarak anılan Almanya Nordsheife’de, Porsche 919 Hybrid Evo ‘ya özel olarak geliştirilmiş Michelin lastikler ile, hiçbir mekanik ya da elektronik sınırlayıcı olmadan turu 5 dk 19.55 saniyede tamamlayarak, yeni bir rekora imza attı.
MEHMET AVCI KARAKÖPRÜ’DE
MEHMET AVCI KARAKÖPRÜ’DE
Karbel Karaköprü Belediyespor orta sahasını güçlendirmek için Kocaelispor’dan 22 yaşındaki genç futbolcu Mehmet Avcı’yı kadrosuna kattı.
​BAŞKAN BAYDİLLİ'DEN KURAN KURSUNA ZİYARET
​BAŞKAN BAYDİLLİ'DEN KURAN KURSUNA ZİYARET
Karaköprü Belediye Başkanı Metin Baydilli Karşıyaka Mahallesinde Hacı Abdurrahman Ademoğlu Camiindeki yaz dönemi Kuran kursunu ziyaret ederek çocuklarla sohbet etti.
​Oyun Tutkunları CNR Games Week’e Akın Etti
​Oyun Tutkunları CNR Games Week’e Akın Etti
Çocuk ve yetişkinlerin heyecanla ziyaret ettiği Video Oyunları ve Teknoloji Fuarı CNR Games Week İstanbul, 6-10 Haziran tarihlerinde CNR EXPO Yeşilköy’de gerçekleştirildi.
​Gelecek Planlamasında Önemli Adımlar Atılmalı
​Gelecek Planlamasında Önemli Adımlar Atılmalı
Müstakil Sanayici ve İşadamları Derneği (MÜSİAD) Ankara, TÜBİTAK Başkanı Prof. Dr. Hasan Mandal'ı ziyaret etti. MÜSİAD Ankara Başkanı ve DEİK Türkiye-Endonezya İş Konseyi Başkanı İlhan Erdal ve MÜSİAD Ankara Yönetim Kurulu üyeleri tarafından gerçekleştirilen ziyarette; bilişim, yazılım, sanayi ve yüksek teknolojili ürün gibi önemli konularda istişarelerde bulunuldu.
Çiftlik Banktan Sonra Bir Vurgun Daha
Çiftlik Banktan Sonra Bir Vurgun Daha
Çalışmadan para kazanmak isteyen insanarın cazip yeri olan ve Bitcoine rakip olarak gösterilen Türkiye'nin ilk digital para birimi Turkoin battı.
Yapay Zeka Artık Gerçeğe Dönüşebiliyor
Yapay Zeka Artık Gerçeğe Dönüşebiliyor
Verileri akıllı içgörülere dönüştürmek, pazara sunma süresini kısaltmak ve daha iyi iş sonuçları elde etmek için AI (Yapay Zekâ) ve ML (Makine Öğrenimi) teknolojisi kullanılıyor İstanbul, 31 Mayıs 2018 – Dell Technologies, 14. nesil Dell EMC PowerEdge dört soketli sunucuların yanı sıra yapay zekâ ve makine öğrenimi kapasitelerini daha da geliştiren Dell Precision Optimizer 5.0 yazılımını duyurdu.
​Kötü Amaçlı Kripto Madenciliği Yazılımları Tehdit Ediyor
​Kötü Amaçlı Kripto Madenciliği Yazılımları Tehdit Ediyor
Check Point'in açıkladığı Nisan 2018 Global Tehdit Endeksi, hacker’ların kripto para madenciliği yapmak için sunucu açıklarını hedef aldıklarını ortaya koyuyor.
​ASELSAN'da İkincil Halk Arz Başlayacak
​ASELSAN'da İkincil Halk Arz Başlayacak
ASELSAN Yönetim Kurulu Başkanı ve Genel Müdürü Prof. Dr. Haluk Görgün, şirketin ikincil halka arzı ile ilgili bilgilendirme toplantısında, dünya savunma sanayinin liderlerinden Türkiye’nin gözbebeği ASELSAN’ın; milletin hayali bir savunma ve teknoloji şirketi olarak ülke ekonomisine yaptığı katkıları dile getirdi.
​Teknoloji; Teknolojiye Karşı Savaş Açacak
​Teknoloji; Teknolojiye Karşı Savaş Açacak
Hızla artan nüfus artışı, sanayileşme ve şehirleşme gerek yer altı gerekse yer üstü kaynaklarının kirliliğini hızla arttırıyor. Çevre kirliliğinin en büyük sebepleri arasında her geçen gün gelişen teknolojik gelişmeler de gösteriliyor.
Advert
Advert
NAMAZ VAKİTLERİ
İmsak
04:46
Güneş
06:08
Öğle
12:24
İkindi
15:46
Akşam
18:27
Yatsı
19:42
Advert