Android Uygulamalarındaki Güvenlik Sorunu Giderek Artıyor!

0
Android Güvenlik
blank

Google tarafından desteklenerek hazırlanan Android cihazlar için mobil uygulama ve mobil oyun mağazası Google Play Store tarafındaki uzun yıllardır süre gelen güvenlik kaygısı tartışmaları, yeni gelişmelerle beraber giderek artmaya devam ediyor. Her ne kadar Google tarafından çeşitli önlemler ve kontroller alınmaya ve bu kontrollerin periyotları artırılmaya başlasa da gelen bilgilere göre söz konusu bu güvenlik sorunları, giderilmek şöyle dursun artarak devam ediyor.

blank

Söz konusu bu güvenlik problemleri ile beraber Android mobil işletim sistemi taşıyan cihazların kullanıcı bilgileri ve özel içerikleri, her geçen gün tehlike altında kalmaya devam ediyor. Üstelik bu güvenlik sorunlarının temel nedenler, sadece Google Play Store üzerinden indirilen uygulamalarla sınırlı kalmıyor ve APK olarak internet üzerinden indirilen mobil uygulamalar veya mobil oyunlar ile de daha yüksek boyutlara kadar tırmanabiliyor.

Dahası son dönemlerde beyaz şapkalı hacker olarak da ifade edilebilecek olan güvenlik uzmanlarının Android üzerinde yaptıkları araştırmalara göre Android kullanıcıları, yükledikleri Google Play Store uygulamaları ve oyunları tarafında dikkatli olmakla kalmayıp, işletim sisteminin mevcut güvenlik açıklarından ötürü girdikleri web siteleri konusunda da temkinli kalmak zorunda kalıyor.

Google Play

Yine benzer güvenlik uzmanları tarafından yapılan açıklamalardan yola çıkarak belirtmek gerekiyor ki farklı Android akıllı telefon üreticilerinin kendi uygulamalarında bile çeşitli yöntemlerle kullanıcıların kişisel bilgileri üzerinden raporlamalar yapılıyor. Bu konuda işletim sisteminin kendi yapısının oluşturduğu güvenlik sorunları ve mobil uygulamalar ve mobil oyunlar üzerinden gelen güvenlik sorunlarına ek olarak, ne yazık ki üretici firmaların dahi söz konusu akıllı telefonları, tabletler ve TV üniteleri gibi ürünler, kullanıcı bilgilerini toplayarak farklı güvenlik açıklarına da neden oluyor.

Tüm bu etmenlere göre şu an için Android tarafındaki en büyük güvenlik tehdit unsurlarının, kullanıcıların eriştikleri internet sitelerinin ve hem Play Store hem de internetten edinilen APK türündeki uygulama ve oyunlarının olduğu ifade ediliyor. En büyük problem ise kullanıcıların temkinli davranmaları durumunda bile kimi yollarla Android cihazlara kolaylıkla erişebiliyor olması durumu olarak beliriyor. Google tarafından bu konuda çalışmalar yapılsa da daha önce de ifade edildiği gibi her geçen gün uzun süredir kullanılan güvenlik açıklarının varlığı, güvenlik uzmanları tarafından keşfedilmeye devam ediyor.

Google Play Store uygulamaları ve oyunları üzerinde yeteri kadar inceleme yapılmıyor!

Öncelikle belirtmek gerekirse Apple’ıniPhone 3GS modeli ile birlikte ivme kazandırdığı mobil uygulama ve mobil oyun mağazası sonrasında Google, iOS karşısında Android mobil işletim sistemini güçlendirmek adına Google Play Store isimli benzer uygulama ve oyun mağazasını kullanıma açmıştı.

O dönemlerde akıllı telefonlar için kullanıcılar tarafında daha önce olmadığı kadar büyük bir kolaylık sunan mobil uygulama mağazaları, günümüzde dev birer yazılım marketi haline gelmiş oldu. Hem Apple’ınAppStore mobil uygulama ve mobil oyun mağazası hem de Google’ın Android mobil uygulama mağazası Google Play Store tarafındaki oyun ve uygulama sayıları, on milyon barajlarına kadar ulaşmış oldu. Uygulama ve oyun indirme tarafında ise milyonlar yeterli gelmeyerek, milyar barajları geride bırakılmış oldu. Söz konusu bu sayılar dikkate alındığında tahmin edilebileceği gibi bu denli büyük bir kullanıcı kitlesine erişme potansiyeli söz konusu olduğu için hem maddi hem de kullanıcı bilgisi çalma amaçlı üretilen yazılımları sayısı da bir o kadar artış göstermiş oldu.

Android ve iOS

Bu noktada Apple, güvenlik kaygılarından ötürü AppStore kapsamına alacağı mobil uygulamalar ve mobil oyunlar için çok katı denetleme kuralları benimsedi ve bu benimsediği kuralları halen daha devam ettiriyor. Şöyle ki Apple tarafında AppStore kapsamında yayınlanması amacı için geliştirilen mobil oyunlar veya mobil uygulamalar, Apple’ın güvenlik ve kullanıcı deneyimi test ekibi tarafından bizzat incelenerek onay alıyor veya alamıyor. Bu test sürecinde ise Apple tarafından oluşturulan AppStore ekibi, geliştiriciler tarafından AppStore’da yayınlanması için geliştirilen mobil oyunları ve uygulamaları detaylı bir şekilde inceleyerek aksiyon alıyor. Dolayısıyla AppStore kapsamında yer alan uygulamalar ve oyunlar, Apple yetkilileri tarafından ciddi bir test sürecinden geçtiği için nispeten daha güvenli ve kullanıcı deneyimi daha yüksek olan örneklerin kullanıcılara ulaşması sonucu ortaya çıkarıyor.

Elbette ki söz konusu bu katı test süreçlerinin negatif bir getirisi de bulunuyor. Bu getiri de geliştiricilerin Apple’a onay için gönderdikleri uygulamalar ve oyunlar, Apple tarafından yaklaşık olarak 10 ila 15 günlük bir süre zarfında geri dönüş alabiliyor. Nitekim hazırlana uygulamalarda bulunan güvenlik sorunları veya kullanıcı deneyimini kötü etkileyen unsurlar, Apple tarafından bu sürede geliştiriciye iletiliyor ve bu sorunlar giderildiği vakit yeniden bir onay süreci ortaya çıkıyor.

Geliştiriciler için bu süreç, mobil oyunların veya uygulamaların AppStore’da çok daha geç bir süre sonra yayınlanmasına neden oluyor. Lakin kullanıcılar için ise bu süreç, çok daha pozitif sonuçlar ortaya çıkartıyor. Zira bizzat Apple tarafından oluşturulan ekip üyeleri tarafından test edilen oyunlar ve uygulamalar, güvenlik konusunda da nispeten daha üst seviyelerde konumlanmış oluyor. Bu sebepten ötürüdür ki AppStore tarafındaki güvenlik sorunu oluşturan mobil uygulamalar veya oyunlar, çok nadir rastlanan örnekler halinde kalıyor.

Google tarafında ise işler çok daha otomatik bir şekilde sürdürülüyor. Şöyle ki Google, Google Play Store üzerinde yayınlanacak olan mobil uygulamalar veya mobil oyunlar için onay sürecini, tamamıyla otomatik bir sistem tarafından yürütüyor ve güvenlik uzmanları tarafından aktarılan bilgilere göre söz konusu bu otomatik sistemi güvenli olmayan uygulamaların veya oyunların geçmesi, oldukça kolay oluyor. Elbette ki bu sistemin geliştiriciler için en büyük artısı, çok daha hızlı bir onay süreci olarak kendini belli ediyor. Apple tarafındaki bir haftadan uzun süren onay süreçleri, Google tarafından bir günden kısa bir kapsamda bile tamamlanabiliyor. Lakin resmi ve iyi niyetli geliştiriciler için bu süreç Google tarafında çok daha pozitif bir gelişme gibi görünse de iyi niyetli olmayan geliştiricilerin de aynı sistemden geçtiği düşünüldüğünde, kullanıcılar için büyük güvenlik sorunları ortaya çıkmış oluyor.

Android Google Play

Elbette ki Google, kimi dönemlerde gerek gelen şikayetler gerekse de çeşitli yöntemlerle Google Play Store üzerindeki uygulamalarda denetlemeler yapıyor. Örneğin kısa bir süre önce Google Play Store üzerinde uzun süredir yer alan ve birçok kullanıcıya ulaşmış olan 300’den fazla mobil uygulamanın, DDoS saldırıları amacı ile kullanıldığı ortaya çıktı ve Google, kısa sürede aksiyon alarak bu uygulamaları Android uygulama mağazasından kaldırmış oldu. Google’ın bu durumun farkına varmasındaki en büyük etmenin ise, güvenlik uzmanları tarafından gelen şikayetler olabileceği tahmin edilebiliyor.

Sadece bu örnekten yola çıkarak bile Android kullanıcılarının güvenerek indirdiği Google Play Store uygulamalarının, aslında ne derece büyük güvenlik sorunları taşıdığı veya bilgi hırsızlığı amacı güdülerek hazırlandığı gerçeğinin farkında olmayacağını söylemek yanlış olmayacaktır.

Sadece DDoS saldırıları için hazırlanmakla kalmayan bu tip zararlı uygulamalar, kullanıcıların fotoğraflarını ve diğer kişisel bilgilerini de kendi sunucularına taşıyor olabilir. Nitekim sadece Google Play Store üzerinden indirilen bir uygulama ile bile çok ciddi güvenlik sorunları ile karşılaşabilecek olan kullanıcı potansiyelinin Android tarafında mevcut olduğunu söylemek ne yazık ki son derece mümkün. Üstelik kullanıcıların bu noktada yapabileceği tek önlem, uygulamaların erişim isteklerini onaylamamaktan geçiyor. Ancak yine Apple’ıniOS sisteminden farklı olarak Android tarafında istenilen tüm izinlere olumlu yanıt vermeden uygulamaların çalışmıyor olması, kısa döneme kadar geçerli bir durumdu.

Her ne kadar uygulamaların istediği izinler, uygulamaların işlevleri ile ilgili olsa da güvenlik sorunlarının devam etmesi kuvvetle muhtemel olarak ifade ediliyor. Örneğin fotoğraf düzenleme amacı ile oluşturulan ve Play Store üzerinde yayınlanan bir Android mobil uygulaması, beklendiği şekilde kullanıma başlamadan önce fotoğraflara erişmek isteyecektir. Ancak fotoğraflara erişim isteğinden sonra kütüphanedeki tüm uygulamaları kendi sunucularına taşıyıp taşımayacağı konusunda ise muamma devam ediyor olacak. Zira Google tarafında yapılan testlerde, bu işlemler adım adım takip edilmeden onay verilmiş bir uygulama kendini gösteriyor olacak.

Google Play APK

Bunların dışında Google Play Store kapsamındaki uygulamalar ve oyunlar için bir diğer tehdit ise, kopya veya sahte uygulamaların çok sıklıkla mağazada yer alabiliyor olması şeklinde ifade edilebilir. Çok popüler bir uygulama veya oyunun benzer ismi ve benzer logo görseli ile hazırlanan sahte uygulamalar veya oyunlar da aslında birer tuzak olarak kendini gösteriyor. Bu sahte uygulamaları indirmek ile beraber de ciddi güvenlik sorunları kendini göstermeye başlamış oluyor.

Bu uygulamalardan ve oyunlardan kaçınmak için ise uygulama veya oyun geliştirici isimlerine dikkat etmek gerekiyor. Google bu noktada popüler veya resmi geliştiricilere onay vermektedir. Onaylı olan geliştiricilerin uygulamalarının veya oyunlarının indirildiğinden emin olmak, herhangi bir sahte uygulamanın indirilmesinin de önüne geçilmesine imkan sunacaktır. Bu noktada hızlı bir şekilde uygulama veya oyun indirmeden önce, kısaca geliştiricinin resmi veya onaylanmış olup olmadığına bakmak, iyi bir ek adım olacaktır.

Android Uygulama Mağazası

APK olarak indirilen uygulamalar ve oyunlarda büyük tehlike mevcut!

Şimdiye kadar ifade edilen Google Play Store uygulamalarının sorunlarına karşı önlem almak konusunda, kullanıcıların bilmedikleri uygulamaları indirmekten kaçınmaları dışında yapabilecekleri çok da fazla detay bulunmuyor. Ancak Android mobil işletim sistemi dünyasında çok popüler olan APK dosyalarının indirilmesi konusunda kullanıcılar kendi önlemlerini alabilir.

Android ve Gizlilik

Öncelikle belirtmek gerekiyor ki APK dosyalar, internet üzerinden indirilen ve genellikle Google Play Store üzerinde ücretli olan uygulamalardan oluşuyor. Kimi kullanıcılar ücretli uygulama veya oyun satın almak istemedikleri için APK indirme sitelerinden söz konusu bu uygulamaları indirmeyi tercih ediyorlar. Lakin en büyük etmen olan güvenlik konusunda da büyük bir hata yapmış oluyorlar.

Çoğunlukla ücretli uygulamaları veya oyunları yayınlayan APK siteleri ve kullanıcılar, söz konusu bu uygulamaların içine çeşitli kod satırları eklemekteler. Bu eklemeler ile birlikte özellikle akıllı telefonlar ve tabletler üzerindeki kişisel bilgilere erişip, bu bilgileri kendilerine toplamayı amaçlamaktalar. Daha sonrasında ise kişisel fotoğrafların veya diğer bilgilerin internet ortamına aktarılması, uygulamanın yüklendiği cihazlar ile DDoS saldırılarının gerçekleştirilmesi, para veya diğer talepler ile bu bilgilerin kullanılması gibi pek çok farklı sorun ortaya çıkmaktadır.

Dolayısıyla olabildiğince APK dosyaları indirmekten uzak durulmalı ve mümkünse bu sistemlerden uzak durulmalıdır. Zira kişisel bilgilerin çalınması veya suç teşkil edecek herhangi bir saldırının istem dışı parçası olunması, işten bile olmayacaktır.

Android işletim sisteminin kendi güvenlik açıkları, kullanıcı güvenliğini tehdit etmeye devam ediyor!

android-uygulamalarindaki-guvenlik-sorunu

Google Play Store uygulamalarının ve oyunlarının ve APK sistemlerinin oluşturduğu tehlikelerden farklı olarak, Android cihazlardan erişilen internet siteleri aracılığıyla da büyük problemler oluşabileceğine ilişkin yeni bilgiler gündeme geldi. Bu gelişmelerin yaşanması ile beraber Android tarafındaki güvenlik sorunları, yeni güncellemelere rağmen yeniden tartışma konusu olmaya başladı.

Geride bıraktığımız kısa dönem içerisinde, özellikle de popüler erotik içeriğe sahip internet sitelerine Android mobil işletim sistemine sahip cihazlardan erişen kullanıcıların, kimlik hırsızlığı ile karşı karşıya kalabileceği ortaya çıkmış oldu. Yine güvenlik uzmanları tarafından ortaya çıkartılan bu güvenlik sorunları, kullanıcıların Android cihazları ile eriştikleri internet siteleri konusunda da çok dikkatli olmaları sonucunu ortaya çıkarmış oldu.

Şu an için sadece bahsi geçen internet sitelerinin bu konuda çok büyük bir tehlike oluşturabileceği gerçeği ortaya çıkmış olsa da başka hangi web sitelerinin bu gibi kimlik hırsızlığı sonuçlarını ortaya çıkartabileceğine dair bir istatistik şu an için mevcut değil. Kısaca bu durumu özetlemek gerekirse Android cihazların internet tarayıcıları ile erişilen web siteleri, kimi durumlarda Android sürümünün açıklarından faydalanarak cihaza erişim sağlayabiliyor. Bu erişim neticesinde bilgi hırsızlığı veya farklı işlemler yapılabiliyor.

Üstelik bu işlemler, popüler internet siteleri üzerinden bile gerçekleştirilebiliyor. Zira popüler internet sitelerinin sistemlerine erişen hacker’lar, site yöneticilerinin haber olmaksızın siteye erişen kullanıcılara zararlı yazılım iletebiliyor. Android tarafında kendini belli etmeye başlayan bu sorunların, aslında uzun süredir var olabileceğine ama yeni yeni ortaya çıktığına dikkat çekiliyor.

Nitekim her ne kadar kullanıcılar, Android akıllı telefonları aracılığı ile eriştikleri internet siteleri konusunda dikkatli olsalar da kimi benzersiz durumlar, güvenlik sorunları ile karşı karşıya kalabiliyorlar.

Anti-virüs uygulamaları, beklenenin aksine bilgi hırsızlığı yapıyor olabilir!

Google tarafından öncülük edilerek geliştirilen Android işletim sistemi her geçen gün gelişmeye devam etse de ortaya çıkan bu güvenlik açıklarının önlemi olarak, birçok kullanıcı anti-virüs Android uygulamaları ile güvenlik önlemi almayı amaçlıyor. Ancak bir süre önce ortaya çıkan bilgilere göre Android anti-virüs uygulamalarına güven duyulması konusunda da çok esnek olmamak gerekiyor.

Anti-virüs uygulamaları temel olarak erişilen web sitelerini ve sistem üzerinde açılan tüm uygulamaları ve dosyaları, kullanıcıdan önce tarama ve takip etme üzerine kurulu bir düzen şeklinde işlev sağlıyor. Masaüstü sistemlerde bu şekilde sürdürülen anti-virüs sistemleri, Android uygulama tarafında da benzer şekilde işlev gösteriyor.

Tüm özelliklere ve dosyalara erişmek durumunda kalan anti-virüs uygulamaları da dolaylı olarak akıllı telefonlarda veya tabletlerde yer alan tüm bilgileri de analiz edebiliyor. Fotoğraflardan mobil uygulama içeriklerine kadar tüm erişimleri isteyen Android anti-virüs uygulamaları, açıklanan bilgilere göre en büyük bilgi hırsızlığını yapabilecek potansiyele sahip.

Dile getirildiği gibi tüm bilgilere ve dosyalara erişme yetkisi tanınan anti-virüs uygulamaları, kullanıcı ismi ile etiketleyerek tüm bu bilgileri kendi sunucusuna taşımaya başlayabilir ve deyim yerindeyse akıllı telefon içinde yer alan tüm bilgileri bire bir olarak kopyalayabilir. Yapılan sesli veya görüntülü görüşme detaylarından girilen web sitelerinin listesine kadar tüm detaylar etiketlenerek saklanıyor olabilir ve başta fotoğraflar olmak üzere tüm bilgiler çalınıyor olabilir.

Android cihazların güvenliğini sağlaması için edinilen bu uygulamaların aslında en büyük güvenlik sorununu oluşturmaması için ise sadece çok bilinen ve sektörde ismini marka haline getirmiş anti-virüs uygulamalarını edinmek gerekiyor.

Bu süreçte de Google Play Store üzerinde kopya isim ile birçok sahte uygulama yer alabileceği için, özellikle resmi geliştiricilere ve onaylanmış geliştiricilere dikkat etmek gerekiyor. Zira benze isim ve benzer görsellerle oluşturulan sahte uygulamalar da birer tuzak olarak Google Play Store’da yer almaya devam ediyor.

Android üreticileri, kendi cihazlarından bilgi topluyor!

Android tarafından kaynaklanan tüm bu güvenlik sorunlarından farklı olarak akıllı telefon veya diğer Android mobil cihaz üreticilerinin bir kısmı da kullanıcıların bilgilerini tamamıyla kendi yöntemleri ile beraber topluyor olduğu gerçeği ile karşılaşılmış oldu.

Android Telefonlar

Cihazların ilk kuruluş bölümünde izin alınarak yapılan bu bilgi toplamaları da kullanıcıların isteği doğrultusunda gibi gösterildiği için, bu konuda yapılabilecek herhangi bir detay bulunmuyor. Daha çok kullanım alışkanlıklarını takip etme üzerine ve bu alışkanlıklardan yola çıkarak bilgi bankası oluşturulup reklam servislerine bilgi aktarılması amacı ile oluşturulan bu bilgi edinme süreçleri, Android tarafında birçok farklı üretici tarafından yapılıyor ve bu süreçte Google’dan bağımsız bir yol izleniyor.

Söz konusu olan kullanıcı sözleşmesini kabul etmeden cihazlar kullanılamadığı için de son tüketicilerin bu konuda yapabilecekleri herhangi bir önlem ne yazık ki bulunmuyor. Bu süreçte kısaca kullanıcı sözleşmelerine bakılarak, en azından hangi bilgilerin üretici firma tarafından toplanacağı ve pazarlama amacı ile kullanılacağı konusunda fikir sahibi olmakta fayda var.

Şimdiye kadar aktarılan güvenlik tehditleri, ne yazık ki Android işletim sistemine sahip cihazlar üzerinde kendini göstermeye devam ediyor. Her ne kadar Google sık sık güncellemeler yapıyor olsa da bu güncellemeler popüler akıllı telefon üreticileri tarafından aynı hızda yayınlanmıyor. Bu süreçte de ortaya çıkan güvenlik sorunları, güncelleme almayan cihazlarda halen daha varlığını sürdürmeye devam ediyor.

Güncellemeleri sık sık kontrol etmeyi ve yeni güncellemeleri bekletmeden kurmayı alışkanlık haline getirmek ve Android cihazlarda daha dikkatli bir kullanıcı olmak, belki de ortaya çıkan tüm bu güvenlik sorunlarına önemli bir engel olmaya başlamış olacaktır.

blank