Kaspersky'den "üçüncü parti otomotiv aplikasyonları önemli gizlilik riskleri taşıyor" tespiti

ABONE OL

Kaspersky Ulaşım Güvenliği Başkanı Sergey Zorin: "Arabayı uzaktan kontrol etmek için üçüncü parti bir uygulama indirirken, kullanıcılar olası tehditlerin farkında olmalı"

Kaspersky uzmanları, bağlantılı araçları kontrol etmek için tasarlanmış 69 popüler üçüncü taraf mobil uygulamasını analiz etti ve sürücülerin bunları kullanırken karşılaşabilecekleri tehditleri tanımladı.

Şirket açıklamasına göre, bağlantılı araç aplikasyonları, sürücülerin hayatlarını kolaylaştırmak için çok çeşitli işlevler sunuyor.

Örneğin kullanıcıların kapıları kilitlemesine ve açmasına, klima kontrolünü ayarlamasına, motoru çalıştırıp durdurmasına, kısaca araçlarını uzaktan kontrol etmelerine olanak tanıyor. Çoğu otomobil üreticisinin otomobilleri için kendi uygulamaları olsa da üçüncü parti aplikasyon mobil geliştiricileri tarafından tasarlananlar, araç üreticisi tarafından henüz tanıtılmamış benzersiz özellikler de sunabilecekleri için kullanıcılar arasında oldukça popüler.

Kaspersky tarafından analiz edilen üçüncü parti aplikasyonlar, bu tarz uygulamalar tarafından kontrol edilen büyük araç markalarını kapsıyor. Kaspersky araştırmacıları, bu uygulamaların kullanımının tümüyle güvenli olmadığına dikkati çekiyor.

Kaspersky uzmanları, bağlantılı araçlar için tasarlanmış 69 üçüncü parti aplikasyonu inceledi ve sürücülerin bunları kullanırken karşılaşabilecekleri önemli gizlilik risklerini belirledi. Araştırmalar sonucunda uygulamaların yarısından fazlasının (yüzde 58) kullanıcı hesabı aracılığıyla orijinal otomobil üreticisinin hizmetini kullanırken bunun riskleri hakkında uyarıda bulunmadığı ortaya çıktı.

Bazı geliştiriciler, daha güvenilir görünmek için kullanıcı adı ve parola yerine yetkilendirme belirteçleri kullanılmasını öneriyordu. Buradaki önemli kısım ise söz konusu belirtecin ele geçirilmesi durumunda kötü niyetli kişilerin kurbanların kimlik bilgilerine ve araçlarına erişebilme riski bulunuyor. Kullanıcıların, riskin kendilerine ait olduğunun ve yetkilendirme belirteci kullanılmasının güvenliği tam olarak sağlamadığının farkında olması gerekiyor. Buna rağmen geliştiricilerin sadece yüzde 19'u bundan bahsediyor.

- Kullanıcılar olası tehditlerin farkında olmalı

Uygulamaların yarısından fazlasının (yüzde 58) araç sahiplerinin kimlik bilgilerini izin almadan kullandığı ortaya çıktı. Ayrıca, başvuruların 5'te 1'inin iletişim bilgileri mevcut değildi ve bu durum sorunları bildirmeyi imkansız hale getirdi. Bu ve benzeri bulgular, yeni Kaspersky Connected Apps raporunda yayınlandı.

Resmi iletişim bilgilerinin ve sosyal ağ sayfalarının olmaması, bu uygulamaların çoğunun meraklılar tarafından geliştirildiğini ortaya koyuyor. 69 uygulamadan 49 tanesi ücretsiz veya demo kullanıma izin veren uygulamalardan oluşuyor ve bunlar Google Play Store üzerinde şimdiye dek 239 bin kez indirilmiş durumda.

Açıklamada görüşlerine yer verilen Kaspersky Ulaşım Güvenliği Başkanı Sergey Zorin, bağlantılı bir dünyanın faydalarının çok fazla olduğunu belirterek, bunun hala gelişmekte olan bir sektör olduğunu ve belirli riskler taşıdığını ifade etti.

Arabayı uzaktan kontrol etmek için üçüncü parti bir uygulama indirirken, kullanıcılar olası tehditlerin farkında olması gerektiğini aktaran Zorin, şunları kaydetti:

Bağlı teknolojilere çok sayıda özel bilgi ve kişisel veri emanet ediyoruz. Ne yazık ki tüm geliştiriciler, veri toplama ve depolama söz konusu olduğunda sorumlu bir yaklaşım benimsemiyor ve bu da kullanıcıların kişisel bilgilerini ifşa etmesine neden oluyor. Bu veriler daha sonra karanlık ağda satılabiliyor ve güvenilmez ellere geçebiliyor.

Ayrıca siber suçlular yalnızca verilerinizi ve kişisel kimlik bilgilerinizi çalmakla kalmıyor, aynı zamanda aracınıza erişerek fiziksel tehditlere yol açabiliyor. Bu nedenle Kaspersky olarak, uygulama geliştiricileri kullanıcıların korumasını bir öncelik haline getirmeye ve müşterilerini ve kendilerini tehlikeye atmaktan kaçınmak için tedbir almaya çağırıyoruz.

- Resmi mağazalardan uygulama indirilmeli

Kaspersky uzmanları uygulama geliştiriciler için şunları tavsiye ediyor:

Uygulamalar temel geliştirme sürecinde kontrol edilmelidir, dağıtımdan önce güvenlik açıkları taranmalıdır. Taşıyıcıların rutin olarak güvenlik denetimi yapılmalı ve üretim altyapılarını kötü amaçlı yazılımdan koruyan, yazılım geliştirme sürecini güvence altına alan çözümler benimsenmelidir. Kamu noktaları aracılığıyla tedarik zinciri saldırılarının son zamanlarda daha sık görülmesi nedeniyle, geliştirme sürecinin dış müdahalelere karşı gelişmiş korunmaya ihtiyacı var.

Kaspersky Hybrid Cloud Security, geliştiricilerin güvenlik ihtiyaçlarını karşılayan bir çözümdür. Docker ve Windows taşıyıcısını korur ve taşıyıcı ana bilgisayar belleğini koruması, taşıyıcılar için görevler, görüntü tarama ve komut dosyası yazılabilir arabirimleriyle bir 'kod olarak güvenlik' yaklaşımı sağlar. Böylece, geliştirme süreci etkilenmeden güvenlik görevleri CI/CD ardışık düzenlerine entegre edilebilir. Kaspersky Mobile SDK, müşteriler için veri korumasının yanı sıra kötü amaçlı yazılım algılama, güvenli bağlantı ve daha fazlasını sağlar.

Kaspersky uzmanları kullanıcılara ise şunları tavsiye ediyor:

Yalnızca Apple App Store, Google Play veya Amazon Appstore gibi resmi mağazalardan uygulama indirilmelidir. Bu pazarlardaki uygulamalar yüzde 100 güvenli olmasa da en azından mağaza temsilcileri tarafından kontrol edilirler ve yerinde bir filtreleme sistemi vardır.

Yani her uygulama bu mağazalara giremez. Özellikle erişilebilirlik hizmetlerine erişim gibi yüksek riskli izinler söz konusu olduğunda bir işleme izin vermeden önce iyice düşünülmelidir. Örneğin bir el feneri uygulamasının ihtiyaç duyduğu tek izin, el feneri işlevine erişim olmalıdır. Kötü amaçlı uygulamaları ve reklam yazılımlarını tespit etmeye yardımcı olacak güvenilir bir güvenlik çözümü kullanılmalıdır. İşletim sistemi ve tüm yazılımlar düzenli olarak güncellenmelidir. Birçok güvenlik sorunu, yazılımın güncellenmiş sürümleri yüklenerek çözülebilir.