Akıllı telefon uygulamaları, savunmasız arka uç bulut sunucularına bağlanabilir
Siber güvenlik araştırmacıları, akıllı telefon uygulamalarına içerik ve reklam besleyen arka uç sistemlerinde, potansiyel olarak kullanıcıların kişisel bilgilerini ifşa eden güvenlik açıkları keşfettiler.
Bu haftaki USENIX Güvenlik Sempozyumunda bildirilen sonuçlarda, Gürcistan Teknoloji Enstitüsü ve Ohio Eyalet Üniversitesi, Google Play Store’da bulunan en iyi 5.000 ücretsiz uygulamanın arkasındaki destek ekosisteminde 1.600’den fazla güvenlik açığı belirledi. Birden fazla uygulama kategorisini etkileyen güvenlik açıkları, bilgisayar korsanlarının kişisel bilgileri içeren veritabanlarına ve belki de kullanıcıların mobil cihazlarına girmesine izin verebilir.
Araştırmacılar, geliştiricilerin mobil uygulamalarının güvenliğini geliştirmelerine yardımcı olmak için bulut sunucularını ve yazılım kitaplığı sistemlerini incelemek üzere SkyWalker adlı otomatik bir sistem oluşturdu. SkyWalker, bireysel uygulama geliştiricileri yerine genellikle bulut barındırma hizmetleri tarafından işletilen mobil uygulamaları destekleyen sunucuların güvenliğini inceleyebilir.
Georgia Tech Elektrik ve Bilgisayar Mühendisliği Okulu’ndan Brendan Saltaformaggio, “Pek çok kişi, telefon uygulamalarının buluttaki yalnızca bir sunucuyla değil, muhtemelen onlarca hatta yüzlerce sunucuyla iletişim kurduğunu öğrenince şaşırabilir,” dedi. “Kullanıcılar bu sunucularla iletişim kurduklarını bilmiyor çünkü yalnızca uygulamalar onlarla etkileşime giriyor ve bunu arka planda yapıyorlar. Şimdiye kadar bu, kimsenin güvenlik açıklarını aramadığı bir kör noktaydı.”
Araştırmacılar, bilinen güvenlik açıklarının 983 örneğini keşfetti. Hâlâ saldırganların savunmasız sunuculara bağlı mobil cihazlara girip giremeyeceğini araştırıyorlar.
“Güvenlik sonradan gelen bir düşünce olmamalı, sistemleri tasarlarken birinci sınıf bir vatandaş olarak düşünülmeli – bu, bizim de savunduğumuz bir şey. CNS Çekirdek Programı,” diyor NSF’de bir program direktörü olan Samee Khan Bilgisayar ve Bilişim Bilimi ve Mühendisliği Müdürlüğüaraştırmayı finanse eden.