Perşembe günü yetkililer , kurumsal mobil ortamda, resmi uygulama mağazalarında yaşayan 170’i aşkın uygulamayı içeren 700’e kadar çıkan uygulamaların, İstenmeyen durum savunmasızlığına karşı risk altında olabileceği konusunda uyarıda bulundu. 
Etkilenen Android uygulamaları, son araştırmalarına dayanarak, 180 milyon kez indirilmiş olabilir, dedi.
Appthority, güvenlik açığı büyük ölçekli veri maruziyetiyle sonuçlandığını söyledi.
Eavesdropper, Appthority’e göre , geliştiricilerin sertifika kodlamalarını, Twilio Rest API’sini veya SDK’yi kullanan mobil uygulamalara dönüştürmesinin sonucudur. Twilio’nun kendi belgelerinde önerdiği en iyi uygulamalara aykırıdır ve Twilio, hesapları güvence altına almak için etkilenen uygulamalar bulunan kişiler de dahil olmak üzere, geliştirme topluluğuna ulaşmıştır.
Appthority’nin Mobil Tehdit Ekibi ilk olarak Nisan ayında güvenlik açığını keşfetti ve Twilio’ya Temmuz ayındaki maruz kalmış hesapları bildirdi.
Güvenlik açığı, arama kayıtları, mobil cihazlarda yapılan görüşmelerin dakikaları ve sesli kayıtların dakika araması gibi SMS ve MMS metin mesajlarının içeriği de dahil olmak üzere büyük miktarda hassas ve hatta tarihi veriler ortaya çıkıyor.
Riskin Azaltılması
Bir kuruluş için en iyi yaklaşım, Ortamdaki Eavesdropper’a karşı savunmasız uygulamaları belirlemek ve uygulamanın sunduğu verilerin hassas olup olmadığını belirlemek, Appthority tarafından önerilmektedir.
Güvenlik araştırmasının başvuru müdürü Seth Hardy, “Tüm konuşmalar gizli bilgiler içermez ve uygulamanın işletme içerisindeki kullanımı hassas veya endişe verici verileri içermez” dedi.
“Mesajlar, ses içeriği ya da çağrı meta verileri hassas ya da mülkiyete dönüşürse, uygulamanın daha önce kullanılmasından kaynaklanan maruz kalmış konuşmalar hakkında yapılabilecek çok şey olmayabilir” diye belirtti TechNewsWorld’a.
Hardy, “Bununla birlikte, geliştiriciye düzeltme konusunu ele alıp doğrulayan veya kaçıran güvenlik açığı olmadan aynı veya benzer işlevlere sahip alternatif bir uygulama bulmak da dahil olmak üzere gelecekteki olası etkileri korumak için çok şey yapılabilir” dedi. “Her durumda, şirketler maruz kaldıkları dosyaları silmek için geliştiricilere başvurmalıdır.”
Özensiz Kodlama
Kulak misafiri açığı Twilio istirahat API veya SDK kullanılarak oluşturulan uygulamalar ile sınırlı değildir, Appthority gibi sert-kodlama kimlik bilgilerinin mobil uygulamalarda güvenlik risklerini artırabilir genel geliştirici hatasıdır, dikkat çekti.
Tellus Venture Associates’in baş analisti Steve Blum, “Temel sorun geliştiricinin tembelliğidir, bu nedenle Appthority’nin bulduğu belirli bir vahiy değildir” dedi .
“Bir uygulamayı geliştirirken bir kodlayıcı kadar sonra temizleme şeylerin içten niyetiyle, kısayolları almak için çok cazip gibi kötü sonuçlara yol açan kötü uygulamaların sadece bir örnek daha var” diye TechNewsWorld söyledi.
Blum, “Tek bir kişi veya küçük bir ekip tarafından geliştirilen uygulamalarla rutin kalite kontrol kontrolleri yok” dedi. “Şimdilik mağazaları dolaşıyor – başta Apple ve Android olmak üzere – QC işi yapmak, ve bu özel soruna bir göz attığına ve kodlanmış kimlik bilgileri için daha ayrıntılı bir şekilde taranabileceğine bahse girerim. geleceği.”
Güvenlik ve gizlilik ilk önce gelmek için, genel olarak kodlamanın bir paradigma kayması yaşaması gerekebilir, önerdiği Roger Entner, Temel Analist, Recon Analytics’te .
TechNewsWorld’a “Maalesef güvenlik sıklıkla bir maliyet merkezi olarak görülüyor ve gizlilik uygulaması geliştiren şirket için gelir üreticisi olarak görülüyor” dedi.
Entner, “Bu nedenle, uygulamalar maliyeti en aza indirgemek ve geliri en üst düzeye çıkarmak için genellikle güvenli değil – gizlilik mevcut değil” dedi. “Bu ihlallerle savaşmanın tek yolu, tüketicilerin kullandığı uygulamalar için tam fiyat ödemek ve reklam destekli uygulamaları reddetmektir.”
Kolay Düzeltme Yok
Bu güvenlik açığıyla ilgili en endişe verici gerçeklerden biri, Eavesdropper’ın jailbreak’e veya aygıtın köküne dayanmadığıdır. Bilinen diğer işletim sistemi açıklarından da yararlanmaz.
Ayrıca, etkilenen uygulama bir kullanıcının aygıtından kaldırıldıktan sonra güvenlik açığı giderilmez. Bunun yerine, kimlik bilgileri düzgün bir şekilde güncellene kadar uygulama verilerine maruz kalıyor.
Tirias Research’in baş analisti Paul Teich, “Etkilenen tüm uygulamaları kaldırmadan ve verilerin tehlikeye atılmadığını umarak tüketici için geçici çözüm yok” dedi .
Bazı kullanıcılar, kişisel bilgilerini tehlikeye atabilecek uygulamalarla önceden yüklenmiş telefonları satın alabilir.
Teich TechNewsWorld’e verdiği demeçte, “Twilio, geliştiricileri, tüm erişim kimlik bilgilerini geçersiz hale getirerek veya erişim kaynaklarını yetki verilen API’lere kaldırarak uygulama kodlarını güncelleştirmeye zorlayabilir” dedi.
Bununla birlikte, “ani etki, çok değerli tüketici akıllı telefonu uygulaması ve hizmetlerinin hepsinin aynı anda çalışmayı bırakması olacak” dedi.
Kullanıcıların çok az seçeneğe sahip oldukları ve tüketicilerin Kulak misafiri etkilenen uygulamalarıyla ilgili görünürlüğü bile zorlaştırabilecekleri görülüyor.
Bir şirkette çalışanlar “BT güvenlik ekibinden onaylanan bir uygulama listesi isteyebilir ve daha sonra savunmasız uygulamaları silebilir ve bunun yerine Sakıncalılardan etkilenen uygulamaları yükleyebilir” Appthority’s Hardy önerdi.
Tirias’ın Teich, “Hâlâ, değerli servislere erişim sağlamaya devam ederken, bu ihlalden gelen bilgilerin akışını nasıl durduracaklarını” belirtti.
Geliştiriciler özensiz olduklarından bu durum küçük bir bölümde gerçekleşti. Bununla birlikte, tüketici tutumları da muhtemelen bir rol oynamıştır. Birçok kişi, mobil cihaz güvenliği üzerinde kullanım kolaylığını tercih etmektedir.
Recon Analytics’in Entner, “Tüketiciler hala gizlilikleri konusunda çok rahat ve ödeme yapmamayı tercih ediyorlar” diyor, bunun yerine gizliliklerinden para kazanmak ve şaşaalı kodlanmış uygulamalarla tehlikeye atmak zorunda kaldıklarını söyledi.
Editör Ramazan Cengiz
