Araç paylaşım uygulamalarındaki güvenlik açıklarına dikkat!

Kaspersky Lab araştırmacıları Rusya, abd ve Avrupa’da dahil olmak üzere tüm dünyadan 13 adet araç paylaşım uygulamasının güvenliğini inceledi. Uzmanlar uygulamaların tümünde, suçluların paylaşılan arabaların kontrolünü gizlice veya başka bir kullanıcının görünümünde ele almasına imkan tanıyan bir dizi güvenlik sorunu tespit etti.

Uygulama üzerinden erişim sağlayan bir suçlu, aracı veya bilgilerini çalmaktan zarar vermeye ve kötü amaçla kullanıma kadar istediği her şeyi yapabiliyor.

Uygulamalar hayatımızı kolaylaştırmak ve çeşitli işleri daha rahat yapmamızı sağlamak için tasarlanıyor. Bu kavram, ‘paylaşım’ uygulamalarıyla bir adım ileri taşındı. Bu uygulamalar, yemek siparişinden taksi ve araba paylaşımına kadar birçok alanda hizmeti daha uygun maliyetli bir şekilde almamızı sağlıyor. Araç paylaşım uygulamaları düşük gelirli kişilere, araba sahibi olma ve bakım maliyetlerini karşılama imkanı sunsa da beraberinde hem üreticiler hem de kullanıcılar için yeni güvenlik riskleri getiriyor.

Sorunun boyutunu belirlemek isteyen kaspersky lab araştırmacıları, farklı pazarlarda önde gelen üreticiler tarafından geliştirilen ve google play istatistiklerine göre 1 milyondan fazla kez indirilen 13 araç paylaşım uygulamasını test etti. Araştırmada incelenen uygulamaların her birinde çok sayıda güvenlik sorunu tespit edildi. Araştırmacılar ayrıca, kötü niyetli kullanıcıların çalıntı hesaplarla araç paylaşım uygulamaları üzerinden uzun süredir gelir elde ettiğini de buldu.

Tespit edilen güvenlik açıkları arasında şunlar yer alıyor:

Ortadaki adam saldırılarına karşı hiçbir güvenlik önlemi yok. Böylece, bir kullanıcı yasal siteye girdiğini düşünse de aslında trafik saldırganın sitesine yönlendiriliyor. Saldırganlar bu şekilde kurbanın girdiği kişisel verileri (giriş, parola, PIN, vs.) toplayabiliyor.

Uygulamanın tersine mühendisliğe karşı hiçbir savunması yok. Sonuç olarak, suçlular uygulamanın nasıl çalıştığını anlayıp sunucu altyapısına erişim imkanı sunacak açıklar bulabiliyor.

Root tespit yöntemleri kullanılmıyor. Root yetkilerine sahip kötü niyetli kullanıcılar neredeyse sınırsız olanağa sahip oluyor, bu da uygulamayı savunmasız bırakıyor.

Uygulama örtme yöntemlerine karşı koruma bulunmuyor. Bu sayede, kullanıcıların karşısına zararlı uygulamaların kimlik avı pencereleri çıkabiliyor ve kişisel bilgiler çalınabiliyor.

Uygulamaların yalnızca yarısından azı kullanıcılardan güçlü parola talep ediyor. Bu da suçluların kurbanlara basit kaba kuvvet yöntemiyle saldırabilmesine olanak tanıyor.

Açıklardan başarılı şekilde yararlanan bir saldırgan, arabaları ücretsiz kullanmak ve kullanıcıları gizlice izlemekten arabaları ve bilgilerini çalmaya kadar birçok kötü amaç için kontrolü fark edilmeden eline alabiliyor. Hatta kullanıcıların kişisel verilerini çalıp, para kazanmak için karaborsada satmak gibi daha ciddi durumlar da yaşanabiliyor. Suçlular bu şekilde, başkalarının kimliğiyle yola çıkıp yasa dışı ve tehlikeli faaliyetlerde bulunabiliyor.

Kaspersky Lab Güvenlik Uzmanı Victor Chebyshev, “Araştırmamız gösterdi ki araç paylaşım uygulamaları mevcut halleriyle zararlı saldırılara karşı koymaya hazır değil. Henüz araç paylaşım servislerine yönelik gelişmiş bir saldırı tespit etmesek de siber suçlular bu tür uygulamaların değerinin farkında. Karaborsadaki mevcut teklifler de geliştiricilerin açıkları kapatmak için çok vakti olmadığını gösteriyor.” dedi.

Kaspersky Lab araştırmacıları, araç paylaşım uygulamalarını kullananların, arabalarını ve gizli verilerini olası siber saldırılardan korumaları için şunları tavsiye ediyor:

Android cihazınıza root yapmayın. Bu işlem zararlı uygulamalara neredeyse sınırsız imkan tanır.

Yazılımdaki açıkları ve saldırı riskini azaltmak için işletim sisteminizin en güncel sürümünü kullanın.

Cihazınızı siber saldırılardan korumak için tanınmış bir güvenlik çözümü kurun.

Araç paylaşımındaki tehditler hakkında daha fazla bilgi edinmek için Securelist.com adresindeki blog yazısını okuyabilirsiniz.