Bağlantılı araçlara yönelik taşınabilir uygulamalar, şoförlerin hayatını kolaylaştıran çeşitli özellikler sunuyor. Lakin bunlar birebir vakitte risk kaynağı da olabiliyor. Kaspersky uzmanları, ilişkili araçları denetim etmek için tasarlanmış 69 tanınan üçüncü taraf taşınabilir uygulamasını tahlil etti ve şoförlerin bunları kullanırken karşılaşabilecekleri tehditleri tanımladı. Sonuçta uygulamaların yarısından fazlasının (58) araç sahiplerinin kimlik bilgilerini müsaade almadan kullandığı ortaya çıktı. Bunun da ötesinde müracaatların beşte birinin bağlantı bilgileri mevcut değildi ve bu durum problemleri bildirmeyi imkânsız hale getirdi. Bu ve gibisi bulgular, yeni Kaspersky Connected Apps raporunda yayınlandı.
Bağlantılı araç aplikasyonları, şoförlerin hayatlarını kolaylaştırmak için çok çeşitli fonksiyonlar sunuyor. Örneğin kullanıcıların kapıları kilitlemesine ve açmasına, klima denetimini ayarlamasına, motoru çalıştırıp durdurmasına, kısaca araçlarını uzaktan denetim etmelerine imkan tanıyor. Birden fazla araba üreticisinin arabaları için kendi uygulamaları olsa da üçüncü parti aplikasyon taşınabilir geliştiricileri tarafından tasarlananlar, araç üreticisi tarafından şimdi tanıtılmamış eşsiz özellikler de sunabilecekleri için kullanıcılar ortasında epey tanınan.
Kaspersky tarafından tahlil edilen üçüncü parti aplikasyonlar, bu üslup uygulamalar tarafından denetim edilen Tesla, Nissan, Renault, Ford ve Volkswagen başta olmak üzere neredeyse tüm büyük araç markalarını kapsıyor. Kaspersky araştırmacıları, bu uygulamaların kullanımının tümüyle inançlı olmadığına dikkat çekiyor.
Kaspersky uzmanları, kontaklı araçlar için tasarlanmış 69 üçüncü parti aplikasyonu inceledi ve şoförlerin bunları kullanırken karşılaşabilecekleri değerli zımnilik risklerini belirledi. Araştırmalar sonucunda uygulamaların yarısından fazlasının (58) kullanıcı hesabı aracılığıyla özgün araba üreticisinin hizmetini kullanırken bunun riskleri hakkında ihtarda bulunmadığı ortaya çıktı. Birtakım geliştiriciler, daha muteber görünmek için kullanıcı ismi ve parola yerine yetkilendirme belirteçleri kullanılmasını öneriyordu. Buradaki değerli kısım ise kelam konusu belirtecin ele geçirilmesi durumunda berbat niyetli bireylerin kurbanların kimlik bilgilerine ve araçlarına erişebilme riski bulunuyor. Kullanıcıların, riskin kendilerine ilişkin olduğunun ve yetkilendirme belirteci kullanılmasının güvenliği tam olarak sağlamadığının farkında olması gerekiyor. Buna karşın geliştiricilerin yalnızca 19’u bundan bahsediyor.
Ayrıca uygulamaların 14’ü geliştiriciyle nasıl irtibata geçileceği yahut geri bildirimde bulunulacağı konusunda bilgi içermiyor. Bu da rastgele bir sorunu bildirmeyi yahut uygulamanın saklılık siyaseti hakkında daha fazla bilgi talep etmeyi imkânsız hale getiriyor. Resmi irtibat bilgilerinin ve toplumsal ağ sayfalarının olmaması, bu uygulamaların birçoklarının meraklılar tarafından geliştirildiğini ortaya koyuyor. Bu illa makus bir şey demek değil, lakin bu çeşit geliştiriciler aracınızın ve bilgilerinizin güvenliğiyle gereğince ilgilenmemiş olabilirler. 69 uygulamadan 49 tanesi fiyatsız yahut demo kullanıma müsaade veren uygulamalardan oluşuyor ve bunlar Google Play Store üzerinde şimdiye dek 239 bin sefer indirilmiş durumda.
Kaspersky Ulaşım Güvenliği Lideri Sergey Zorin şunları söylüyor: “Bağlantılı bir dünyanın yararları çok fazla. Lakin bunun hala gelişmekte olan bir bölüm olduğunu ve muhakkak riskler taşıdığını belirtmek değerli. Otomobilinizi uzaktan denetim etmek için üçüncü parti bir uygulama indirirken, kullanıcılar mümkün tehditlerin farkında olmalıdır. Bağlı teknolojilere çok sayıda özel bilgi ve şahsî bilgi emanet ediyoruz. Ne yazık ki tüm geliştiriciler, bilgi toplama ve depolama kelam konusu olduğunda sorumlu bir yaklaşım benimsemiyor ve bu da kullanıcıların ferdî bilgilerini ifşa etmesine neden oluyor. Bu bilgiler daha sonra karanlık ağda satılabiliyor ve güvenilmez ellere geçebiliyor. Ayrıyeten siber hatalılar sırf bilgilerinizi ve ferdî kimlik bilgilerinizi çalmakla kalmıyor, tıpkı vakitte aracınıza erişerek fizikî tehditlere yol açabiliyor. Bu nedenle Kaspersky olarak, uygulama geliştiricileri kullanıcıların müdafaasını bir öncelik haline getirmeye ve müşterilerini ve kendilerini tehlikeye atmaktan kaçınmak için önlem almaya çağırıyoruz.”
Uygulama geliştiriciler için Kaspersky uzmanları aşağıdaki tavsiyeleri öneriyor:
- Uygulamalar temel geliştirme sürecinde denetim edilmelidir, dağıtımdan evvel güvenlik açıkları taranmalıdır. Taşıyıcıların rutin olarak güvenlik kontrolü yapılmalı ve üretim altyapılarını makus hedefli yazılımdan koruyan, yazılım geliştirme sürecini teminat altına alan tahliller benimsenmelidir. Kamu noktaları aracılığıyla tedarik zinciri ataklarının son vakitlerde daha sık görülmesi nedeniyle, geliştirme sürecinin dış müdahalelere karşı gelişmiş korunmaya muhtaçlığı var.
- Kaspersky Hybrid Cloud Security, geliştiricilerin güvenlik muhtaçlıklarını karşılayan bir tahlildir. Docker ve Windows taşıyıcısını korur ve taşıyıcı ana bilgisayar belleğini müdafaası, taşıyıcılar için misyonlar, imaj tarama ve komut belgesi yazılabilir arabirimleriyle bir “kod olarak güvenlik” yaklaşımı sağlar. Böylelikle, geliştirme süreci etkilenmeden güvenlik misyonları CI/CD ardışık tertiplerine entegre edilebilir.
- Kaspersky Mobile SDK, müşteriler için data muhafazasının yanı sıra makus maksatlı yazılım algılama, inançlı ilişki ve daha fazlasını sağlar.
Kaspersky uzmanları kullanıcılara ise şunları tavsiye ediyor:
- Yalnızca Apple App Store, Google Play yahut Amazon Appstore üzere resmi mağazalardan uygulama indirilmelidir. Bu pazarlardaki uygulamalar 100 inançlı olmasa da en azından mağaza temsilcileri tarafından denetim edilirler ve yerinde bir filtreleme sistemi vardır. Yani her uygulama bu mağazalara giremez.
- Özellikle erişilebilirlik hizmetlerine erişim üzere yüksek riskli müsaadeler kelam konusu olduğunda, bir sürece müsaade vermeden evvel güzelce düşünülmelidir. Örneğin bir el feneri uygulamasının muhtaçlık duyduğu tek müsaade, el feneri fonksiyonuna erişim olmalıdır.
- Kötü gayeli uygulamaları ve reklam yazılımlarını tespit etmeye yardımcı olacak sağlam bir güvenlik tahlili kullanılmalıdır.
- İşletim sistemi ve tüm yazılımlar sistemli olarak güncellenmelidir. Birçok güvenlik sorunu, yazılımın güncellenmiş sürümleri yüklenerek çözülebilir.
Kaynak: (BHA) – Beyaz Haber Ajansı
