Mobil 15 ŞUBAT 2012 / 16:12

Dikkat: iPhone uygulamaları cep telefonlarınızı çalıyor!

Dikkat: iPhone uygulamaları cep telefonlarınızı çalıyor!

Geçenlerde Path adlı iPhone uygulamasının kullanıcıların adres defterindeki tüm bilgileri kendi sunucularına aktardığının ortaya çıkmasının ardından, diğer birçok uygulamanın da aynı şeyi yaptığı kanıtlandı. Dua edin bilgileriniz iyi niyetli kişilerin elinde olsun. 



Geçtiğimiz haftalarda Path adlı bir uygulamanın kullanıcıların cep telefonunda yer alan adres ve telefon bilgilerini kendi sunucularına aktardığı ortaya çıkmış ve uygulamanın yaratıcıları özür dilemek zorunda kalmıştı. Ancak yapılan araştırmalar, diğer birçok uygulamanın aynı işi uzun zamandır yaptığını ortaya koyuyor.

iPhone, iPad gibi cihazlarda kullanılan Facebook, Twitter, Instagram, Foursquare, Foodspotting, Yelp, Gowalla gibi popüler uygulamaların çoğu adres defterinizde buldukları bilgileri ne var ne yok doğrudan kendi sunucularına gönderiyorlar. Hem de çoğu durumda kullanıcıdan izin almadan.

Instagram ve Foursquare uygulamaların ise Path'ın başına gelenlerden sonra bu işi sessiz sedasız yapmayı bırakıp kullanıcıdan izin almaya başladığı söyleniyor.

Bu konudaki bir diğer eleştiri de uygulamaların bu bilgileri kendi sunucularına aktarırken bilgilerin gerçek sahipleriyle olan ilişkisini ortadan kaldırıp anonim hale getirebilecekleri, ama bunu yapmamayı tercih ettikleri yönünde.

Verileri gönderirken şifrelemeyi ihmal ediyorlar

VentureBeat, sunucu ve cihaz arasındaki veri iletişimini denetim altına alarak hangi tür verilerin gönderildiğini kontrol eden mitmproxy adlı bir yazılımla yaptığı denemelerde çoğu iOS uygulamasının adres defteri bilgilerini kendi sunucularına taşıdığını tespit etmiş. Çoğu da bunu yaparken "Adres listenize bakarak aynı uygulamayı kullanan arkadaşlarınızı bulayım ve sizi onlarla bir araya getireyim" vaadiyle yaklaşıyor.

Normalde uygulamaların bu bilgileri aldıktan sonra sunucu üzerinde karşılaştırma yaparak işi bittiğinde sunucudan silmesi gerekiyor. Ayrıca veri aktarımını güvenli HTTPS bağlantısı üzerinden yapmaları gerekiyor.

Ancak görünen o ki bazıları bu basit kurala bile özen göstermiyor. Örneğin Foodspotting uygulamasının adres verilerini sunucuya yollarken bildiğiniz düz metin halinde gönderdiği, bu sayede aradaki veri akışına müdahale eden herhangi birinin tüm bilgileri kolayca ele geçirebileceği söyleniyor.

Kendini pek güzel koruyan Apple kullanıcısını korumaktan aciz

Uygulamaların çoğu adres defteri bilgilerini kendi sunucularına iletmekle birlikte, hangilerinin bu bilgileri ne kadar süreyle sakladıklarını öğrenmek için sunucu erişimine ihtiyaç var. Bununla birlikte, telefonunuzdan çıkan ve başka bir noktaya taşınan her bilginin gerek pazarlama, gerek siber saldırı yoluyla üçüncü kişilerin eline geçmesi daima gündemde olan bir olasılık.

Ancak bu işte Apple'ın da büyük ihmali var. Platformlar üzerindeki kontrolünü her fırsatta gündeme getiren ve bu amaçla uygulamalara sansür uygulamaktan çekinmeyen Apple, kullanıcının adres defterini aktarmak isteyen uygulamalara karşı önlem almıyor. Hatta bu işi yapan uygulamaların kullanıcıdan izin alıp almaması da Apple'ın umurunda değil.

Cihaz seçenekleri arasında hangi uygulamaların konum bazlı verilere ulaşabileceğini seçebilirken, hangilerinin adres defterine ulaşabileceğini seçemiyorsunuz.

Gelinen bu noktada, sizden izin alarak veya almayarak aktarılan tüm bu verilerin iyi niyetli olarak kullanılacağını umut etmekten başka çare yok gibi görünüyor.