Binlerce iPhone Uygulaması, Apple App Store İçinde Veri Sızıntısı Yaptı

iPhone Uygulamalarında Gizli Güvenlik Açıkları Ortaya Çıktı

Apple, App Store’u güvenli bir uygulama indirme platformu olarak tanıtmaktadır. Ancak yeni araştırmalar, Apple tarafından onaylanan binlerce iOS uygulamasında gizli güvenlik açıkları bulunduğunu gösteriyor. Bu açıklar, kullanıcı verilerinin, bulut depolama alanlarının ve hatta ödeme sistemlerinin tehlikeye girmesine neden olabiliyor.

“Bu, kötü amaçlı yazılımlardan ziyade, uygulama koduna doğrudan yerleştirilmiş zayıf güvenlik uygulamaları meselesi,” diyor Siber Uzman Kurt Knutsson.

Araştırmacılar Uygulamaların İçinde Neler Buldu?

Cybernews adlı siber güvenlik araştırma firmasının araştırmacıları, dünya çapında bulunan 156.000’den fazla iPhone uygulamasının kodunu analiz etti. Bu, toplamda bulunan uygulamaların yaklaşık %8’ini temsil ediyor. Araştırmanın bulguları şaşırtıcı boyutlarda:

• 815.000’den fazla gizli sır uygulama kodunun içinde bulundu.
• Uygulama başına ortalama beş sır bulundu.
• Uygulamaların %71’i en az bir sır sızdırdı.

Bu sırlar arasında şifreler, API anahtarları ve erişim belirteçleri bulunuyor. Geliştiriciler, bu bilgileri doğrudan uygulamaların içine yerleştiriyor ve bu da yetkisiz kişilerin bu bilgilere kolayca erişebilmesini sağlıyor.

Bulut Depolama Sızıntılarıyla Büyük Veri Miktarları Ortaya Çıktı

En ciddi sorunlardan biri, bulut depolama alanlarıyla ilgiliydi. 78.000’den fazla iOS uygulaması, doğrudan bulut depolama alanlarına bağlantılar içeriyordu. Bu alanlarda fotoğraflar, belgeler, makbuzlar ve yedeklemeler gibi dosyalar saklanıyordu. Bazı durumlarda, hiçbir şifre gerekmediği tespit edildi.

• 836 depolama alanı tamamen kamuya açık.
• 76 milyardan fazla açık dosya.
• 406 terabayttan fazla sızdırılmış veri.

Bu veriler arasında kullanıcı yüklemeleri, kayıt detayları, uygulama günlükleri ve özel kayıtlar yer alıyordu. Herkes, doğru yere bakarak bu verilere erişebilir ve indirebilirdi.

Firebase Veritabanları da Açıkta

Birçok iOS uygulaması, kullanıcı verilerini saklamak için Google Firebase’e güveniyor. Cybernews, uygulama kodunda gizli 51.000’den fazla Firebase veritabanı bağlantısı buldu. Bazıları korunmuş olsa da, 2.200’den fazlası hiçbir kimlik doğrulaması içermiyordu. Bu durum, yaklaşık 20 milyon kullanıcı kaydının, mesajların, profillerin ve etkinlik günlüklerinin tehlikeye girmesine neden oldu.

Ödeme ve Giriş Sistemleri de Risk Altında

Sızdırılan bazı sırların, analiz veya reklamdan daha tehlikeli olduğu tespit edildi. Araştırmacılar, Stripe (ödeme ve geri ödemeleri işleyen), JWT (girişleri kontrol eden) kimlik doğrulama sistemleri ve alışveriş uygulamaları tarafından kullanılan sipariş yönetimi araçları için gizli anahtarlar buldu.

Sızdırılan bir Stripe gizli anahtarı, saldırganların para hareket ettirmesine veya faturalandırma ayrıntılarına erişmesine olanak tanıyabilir. Sızdırılan giriş anahtarları ise saldırganların kullanıcıları taklit etmesine veya hesapları ele geçirmesine olanak sağlayabilir.

Yapay Zeka ve Sosyal Uygulamalar En Çok Etkilenenler

En büyük sızıntılara sahip uygulamalardan bazıları yapay zeka ile ilgiliydi. CovertLabs adlı güvenlik firması, 198 iOS uygulamasının kullanıcı verilerini sızdırdığını tespit etti. Chat & Ask AI by Codeway adlı uygulama, milyonlarca kullanıcıya ait sohbet geçmişlerini, telefon numaralarını ve e-posta adreslerini sızdırdı. YPT – Study Group adlı başka bir uygulama ise mesajları, kullanıcı kimliklerini ve erişim belirteçlerini sızdırdı. Bu tür olaylar, Firehound adlı kısıtlı bir depoda takip ediliyor.

Haberin Diğer Kareleri