Mobil 17 MAYIS 2011 / 18:42

Android’in üzerinde şimdi de kişisel veri sızıntısı endişeleri dolanıyor

Android telefonların yüzde 99'unda açık riski var

Yeni haberlere göre Android telefonların yüzde 99’dan fazlasının veri açığı potansiyeli var. 



BBC News’ın haberine göre, açık veren veriler genelde Google Calendar gibi web tabanlı hizmetlere erişmek için kullanılan uygulamalarda yer alıyor. Bu keşif, Android telefonların kimlik bilgilerini nasıl ele aldığını araştıran Alman güvenlik uzmanları tarafından gerçekleştirildi. Uzmanların ortaya çıkardığı boşlukla ilgili olarak Google henüz bir açıklama yapmadı.

Ulm Üniversitesi araştırmacıları Bastian Konings, Jens Nickels ve Florian Schaub, bu keşfi Android telefonların web tabanlı servisler için giriş kriterlerini nasıl uyguladığını izlerken yaptı. Android telefonlara yüklenen birçok uygulama Google servisleriyle etkileşim kuruyor. Bunu da bu uygulamanın kimlik bilgisini sorarak yapıyor. Bir kere bu bilgi verildiğinde, söz konusu işaret de belli bir süre boyunca bir servise giriş için tekrar kimlik bilgisi girme ihtiyacını ortadan kaldırıyor.

Ele geçirme işlemi nasıl gerçekleşiyor?

Araştırmaya göre, bazen bu işaretler kablosuz ağlar üstünden gönderiliyor. Bu da, söz konusu işaretleri ‘kolay fark edilebilir’ hale getiriyor. Böylece Wi-Fi trafiğini gizlice takip eden kişiler bu işareti kolayca fark edebiliyor ve bunları çalabiliyor. Bu kimlik işaretine sahip olan kişiler, belli bir kullanıcının kimliğini kullanabiliyor ve onların kişisel bilgilerini elde edebiliyor. Daha da kötüsü, bu işaretler belli telefonlarla veya kullanım zamanlarıyla sınırlı değil. Böylece her yerde herhangi bir akıllı telefon yardımıyla kullanılmaları mümkün.

Bu konuyu ortaya çıkaran araştırmacılar blog’arında şu yorumu yapıyor:

“Bu bilgiyi kötüye kullanmak isteyen kişiler, bir Google kullanıcısının takvimine, bağlantı bilgilerine veya özel web albümlerine tam erişim sahibi oluyor. Bu boşluk, bazı kişilerin verilerini kaybetmesi anlamına gelebilir. Üstelik olası diğer bazı değişiklikleri fark etmek daha da zor olabilir. Kötü niyetli bir kişi sahip olduğu bu bilgilerle kurbanının, patronunun veya çalışma arkadaşının cihazındaki e-posta adreslerini bile değiştirebilir.”

Radikal çözüm önerisi: "Telefonlarınızı değiştirin!"

Tüm bu bulgulara rağmen, kötü niyetli kişilerin Android'deki bu boşluğunu fark ettiklerine dair bir işaret henüz yok. Android işletim sisteminin hemen hemen tüm sürümleri şifrelenmemiş kimlik işaretlerini birbiriyle paylaşıyor. 2.3.4 sürümünde sorun çözülmüş durumda, ancak mevcut Android telefonların sadece binde 3’ü bu yazılımı kullanıyor.

Araştırmaya göre görsel paylaşım sitesi Picasa gibi bazı Google servisleri hala çalınabilir özelliği olan bu şifresiz kimlik işaretlerini kullanıyor. Araştırmacılar, Android telefon sahiplerini cihazlarını yenilemeleri, böylece bu boşlukla bir kurban olmamaları konusunda uyarıyor.