Bağlantılı araçlara yönelik taşınabilir uygulamalar, şoförlerin hayatını kolaylaştıran çeşitli özellikler sunuyor. Fakat bunlar tıpkı vakitte risk kaynağı da olabiliyor. Kaspersky uzmanları, irtibatlı araçları denetim etmek için tasarlanmış 69 tanınan üçüncü taraf taşınabilir uygulamasını tahlil etti ve şoförlerin bunları kullanırken karşılaşabilecekleri tehditleri tanımladı. Sonuçta uygulamaların yarısından fazlasının (58) araç sahiplerinin kimlik bilgilerini müsaade almadan kullandığı ortaya çıktı. Bunun da ötesinde müracaatların beşte birinin irtibat bilgileri mevcut değildi ve bu durum sıkıntıları bildirmeyi imkânsız hale getirdi. Bu ve gibisi bulgular, yeni Kaspersky Connected Apps raporunda yayınlandı.
Bağlantılı araç aplikasyonları, şoförlerin hayatlarını kolaylaştırmak için çok çeşitli fonksiyonlar sunuyor. Örneğin kullanıcıların kapıları kilitlemesine ve açmasına, klima denetimini ayarlamasına, motoru çalıştırıp durdurmasına, kısaca araçlarını uzaktan denetim etmelerine imkan tanıyor. Birden fazla araba üreticisinin arabaları için kendi uygulamaları olsa da üçüncü parti aplikasyon taşınabilir geliştiricileri tarafından tasarlananlar, araç üreticisi tarafından şimdi tanıtılmamış eşsiz özellikler de sunabilecekleri için kullanıcılar ortasında epey tanınan.
Kaspersky tarafından tahlil edilen üçüncü parti aplikasyonlar, bu şekil uygulamalar tarafından denetim edilen Tesla, Nissan, Renault, Ford ve Volkswagen başta olmak üzere neredeyse tüm büyük araç markalarını kapsıyor. Kaspersky araştırmacıları, bu uygulamaların kullanımının tümüyle inançlı olmadığına dikkat çekiyor.
Kaspersky uzmanları, kontaklı araçlar için tasarlanmış 69 üçüncü parti aplikasyonu inceledi ve şoförlerin bunları kullanırken karşılaşabilecekleri kıymetli kapalılık risklerini belirledi. Araştırmalar sonucunda uygulamaların yarısından fazlasının (58) kullanıcı hesabı aracılığıyla orjinal araba üreticisinin hizmetini kullanırken bunun riskleri hakkında ihtarda bulunmadığı ortaya çıktı. Birtakım geliştiriciler, daha emniyetli görünmek için kullanıcı ismi ve parola yerine yetkilendirme belirteçleri kullanılmasını öneriyordu. Buradaki değerli kısım ise kelam konusu belirtecin ele geçirilmesi durumunda makûs niyetli şahısların kurbanların kimlik bilgilerine ve araçlarına erişebilme riski bulunuyor. Kullanıcıların, riskin kendilerine ilişkin olduğunun ve yetkilendirme belirteci kullanılmasının güvenliği tam olarak sağlamadığının farkında olması gerekiyor. Buna karşın geliştiricilerin yalnızca 19’u bundan bahsediyor.
Ayrıca uygulamaların 14’ü geliştiriciyle nasıl irtibata geçileceği yahut geri bildirimde bulunulacağı konusunda bilgi içermiyor. Bu da rastgele bir sorunu bildirmeyi yahut uygulamanın saklılık siyaseti hakkında daha fazla bilgi talep etmeyi imkânsız hale getiriyor. Resmi irtibat bilgilerinin ve toplumsal ağ sayfalarının olmaması, bu uygulamaların birçoklarının meraklılar tarafından geliştirildiğini ortaya koyuyor. Bu illa makus bir şey demek değil, fakat bu cins geliştiriciler aracınızın ve datalarınızın güvenliğiyle gereğince ilgilenmemiş olabilirler. 69 uygulamadan 49 tanesi fiyatsız yahut demo kullanıma müsaade veren uygulamalardan oluşuyor ve bunlar Google Play Store üzerinde şimdiye dek 239 bin sefer indirilmiş durumda.
Kaspersky Ulaşım Güvenliği Lideri Sergey Zorin şunları söylüyor: “Bağlantılı bir dünyanın yararları çok fazla. Lakin bunun hala gelişmekte olan bir kesim olduğunu ve makul riskler taşıdığını belirtmek değerli. Otomobilinizi uzaktan denetim etmek için üçüncü parti bir uygulama indirirken, kullanıcılar muhtemel tehditlerin farkında olmalıdır. Bağlı teknolojilere çok sayıda özel bilgi ve şahsî data emanet ediyoruz. Ne yazık ki tüm geliştiriciler, bilgi toplama ve depolama kelam konusu olduğunda sorumlu bir yaklaşım benimsemiyor ve bu da kullanıcıların ferdî bilgilerini ifşa etmesine neden oluyor. Bu bilgiler daha sonra karanlık ağda satılabiliyor ve güvenilmez ellere geçebiliyor. Ayrıyeten siber hatalılar sırf datalarınızı ve şahsî kimlik bilgilerinizi çalmakla kalmıyor, tıpkı vakitte aracınıza erişerek fizikî tehditlere yol açabiliyor. Bu nedenle Kaspersky olarak, uygulama geliştiricileri kullanıcıların muhafazasını bir öncelik haline getirmeye ve müşterilerini ve kendilerini tehlikeye atmaktan kaçınmak için önlem almaya çağırıyoruz.”
Uygulama geliştiriciler için Kaspersky uzmanları aşağıdaki tavsiyeleri öneriyor:
- Uygulamalar temel geliştirme sürecinde denetim edilmelidir, dağıtımdan evvel güvenlik açıkları taranmalıdır. Taşıyıcıların rutin olarak güvenlik kontrolü yapılmalı ve üretim altyapılarını makûs emelli yazılımdan koruyan, yazılım geliştirme sürecini garanti altına alan tahliller benimsenmelidir. Kamu noktaları aracılığıyla tedarik zinciri hücumlarının son vakitlerde daha sık görülmesi nedeniyle, geliştirme sürecinin dış müdahalelere karşı gelişmiş korunmaya muhtaçlığı var.
- Kaspersky Hybrid Cloud Security, geliştiricilerin güvenlik gereksinimlerini karşılayan bir tahlildir. Docker ve Windows taşıyıcısını korur ve taşıyıcı ana bilgisayar belleğini muhafazası, taşıyıcılar için vazifeler, manzara tarama ve komut belgesi yazılabilir arabirimleriyle bir “kod olarak güvenlik” yaklaşımı sağlar. Böylelikle, geliştirme süreci etkilenmeden güvenlik misyonları CI/CD ardışık nizamlarına entegre edilebilir.
- Kaspersky Mobile SDK, müşteriler için data müdafaasının yanı sıra berbat gayeli yazılım algılama, inançlı irtibat ve daha fazlasını sağlar.
Kaspersky uzmanları kullanıcılara ise şunları tavsiye ediyor:
- Yalnızca Apple App Store, Google Play yahut Amazon Appstore üzere resmi mağazalardan uygulama indirilmelidir. Bu pazarlardaki uygulamalar 100 inançlı olmasa da en azından mağaza temsilcileri tarafından denetim edilirler ve yerinde bir filtreleme sistemi vardır. Yani her uygulama bu mağazalara giremez.
- Özellikle erişilebilirlik hizmetlerine erişim üzere yüksek riskli müsaadeler kelam konusu olduğunda, bir sürece müsaade vermeden evvel düzgünce düşünülmelidir. Örneğin bir el feneri uygulamasının muhtaçlık duyduğu tek müsaade, el feneri fonksiyonuna erişim olmalıdır.
- Kötü maksatlı uygulamaları ve reklam yazılımlarını tespit etmeye yardımcı olacak muteber bir güvenlik tahlili kullanılmalıdır.
- İşletim sistemi ve tüm yazılımlar nizamlı olarak güncellenmelidir. Birçok güvenlik sorunu, yazılımın güncellenmiş sürümleri yüklenerek çözülebilir.
Kaynak: (BHA) – Beyaz Haber Ajansı