Popüler Android uygulamasının veri sızdırdığı ortaya çıktı
Kötü amaca hizmet etmeyen faydalı uygulamalar bile zaman zaman istemeden kötü amaca hizmet edebiliyor. Bunun son örneği, 100 binden fazla kez indirilen bu uygulama.
Mobil cihazınıza indirdiğiniz uygulamalar konusunda mümkün olduğunca dikkatli davranmanız gerektiği kesin. Ama siz ne kadar dikkat ederseniz edin, bir uygulama aktif olarak kötü amaçlı olmasa bile, verilerinizin risk altında olma ihtimalini yaratabiliyor.
Google Play mağazasında Barcode to Sheet adlı çok popüler bir barkod tarayıcı uygulaması için de durum böyle görünüyor. Cybernews’in bildirdiğine göre tarayıcı uygulamasının geliştiricileri, uygulamanın kullanıcılardan topladığı verileri saklayan Firebase veri tabanını büyük bir hata sonucu herkesin erişimine açık bıraktı.
Bu veri tabanı, bir kısmı düz metin olarak saklanan 368 MB’tan fazla veri içeriyordu ve bu verilerin arasında ürünler, raporlar, e-postalar ve kullanıcı kimlikleri hakkındaki bilgiler bulunuyordu. Ayrıca MD5 veri biçiminde saklanan kullanıcı şifreleri de vardı. Cybernews’in belirttiği gibi birden fazla güvenlik açığına sahip olan MD5, veri depolamanın pek güvenli bir yolu değil.
Ayrıca bu raporda, hassas bilgilerin büyük olasılıkla uygulamanın istemci tarafında erişim anahtarları ve kimliklerle birlikte depolandığı da iddia ediliyor. Eğer kötü amaçlı kişiler sunucuya sızarlarsa, web istemci kimliğini, Google uygulama programlama arayüzü (API) anahtarını, Google uygulama kimliğini, kilitlenme raporlama anahtarını ve yalnızca geliştiricilerin görmesi gereken diğer ayrıntıları görebilirdi.
Zaman zaman haberlere konu olan bazı sahte veya kötü amaçlı Android uygulamalarının aksine, Barcode to Sheet meşru bir üretkenlik uygulaması. Google Play verileri, uygulamanın 100.000'den fazla indirildiğini ve 3.000’den fazla inceleme ile ortalama 4,6/5 inceleme puanına sahip olduğunu gösteriyor.
Cybernews ekibi raporunda “Sızdırılan veriler hassas” diyor ve devam ediyor: “Sadece uygulamanın istemci tarafında saklanan uygulamanın sırlarını değil, aynı zamanda kullanıcıların şifreleri de dahil olmak üzere kurumsal ve kullanıcı bilgilerini de içeriyordu.”