Daha önce WhatsApp'ın ve Viber'in güvenlik açıklarını ortaya çıkaran bir firma, yeni araşırtmasında Instagram, OkCupid, Grindr gibi birçok Android uygulamasının temel güvenlik önlemlerini almadığını ve kullanıcının verilerini tehlikeye attığını gösterdi.
University of New Haven'ın Cyber Forensics Research and Education Group (UNHcFREG) adlı grubu tarafından yapılan araştırmaya göre sözkonusu gizlilik ve güvelik sorunları, 1 milyardan fazla kişiyi etkileyebilir.
Wireshark ve NetworkMiner gibi ağ analiz araçlarını kullanan araştırmacılar, uygulamalarda belirli eylemler gerçekleştirildiğinde gönderilip alınan verileri görmeye çalıştılar. Araştırmaya göre Instagram uygulaması, resimleri şifrelemeden gönderdiği gibi sunucuda oturum açmadan erişilebilecek biçimde saklıyor. Dahası araştırma, OoVoo, MessageMe, Tango, Grindr, HeyWire ve TextPlus gibi uygulamaların, bir fotoğrafı bir başka kullanıcıya gönderirken benzer bir açığa sahip olduğunu söylüyor.
Araştırmaya göre gönderilen içerikler, düz "http" bağlantılarıyla saklanıyor. Sorun ise bu bağlantıya erişim sağlayan herhangi bir kişinin, gönderilen fotoğrafı açabilmesi. Araştırmacılar, bunun için herhangi bir oturum açma talebinin olmadığını söylüyorlar.
Araştırmada ortaya çıkan bir başka bulgu ise, uygulamaların SSL/TLS'yi kullanmıyor olmaları veya onu güvensiz olarak kullanmaları. Temel bir güvenlik katmanı sayılan SSL/TLS'nin kullanılmaması, herkese açık Wi-Fi ağlarında kullanıcıyı man-in-the-middle adı verilen saldırılara maruz bırakabiliyor. Örneğin OkCupid'in uygulaması, sohbetleri SSL ile şifrelemiyor, dolayısıyla trafik izleyici araçlarıyla gönderilen ve alınan metinleri görmek, mümkün oluyor.
Takım, uygulamaların destekle ilgili e-posta adreslerine güvenlik sorunlarından bahseden araştırmalarını yolladıklarını, ancak çoğunlukla kimseye ulaşamadıklarını söylüyorlar.