Sekiz Android ve iOS uygulaması, cihaz ayrıntıları, coğrafi konum ve kimlik bilgileri gibi hassas bilgileri HTTPS yerine HTTP protokolü üzerinden ileten kullanıcı verilerini yeterli düzeyde korumada başarısız oluyor.
Verileri veri hırsızlığı, gizlice dinleme ve aracı saldırılar gibi potansiyel saldırılara maruz bırakır.
Şifreleme, kullanıcı verilerini korumak için temel bir güvenlik önlemidir; ancak birçok uygulama geliştiricisi bunu yanlış uyguluyor gibi görünüyor.
Klara Hava Durumu ve Asker Arkadaşlık uygulamaları, şifrelenmemiş veri iletimi nedeniyle önemli güvenlik riskleri oluşturuyor. Klara Hava Durumu, kullanıcıların coğrafi konum verilerini HTTP üzerinden sızdırıyor ve hassas gizlilik bilgilerini ifşa ediyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial
Bu arada, Askeri Arkadaşlık uygulaması şifrelenmemiş kullanıcı adları ve parolalar göndererek bunları ele geçirilmeye ve tehlikeye atılmaya karşı savunmasız hale getirir. Bu, kişisel verilere yetkisiz erişime, kimlik hırsızlığına veya diğer kötü amaçlı faaliyetlere yol açabilir.
Android uygulamaları Sina Finance ve CP Plus Intelli Serve, şifrelenmemiş HTTP bağlantıları üzerinden cihaz kimliği, SDK sürümü ve IMEI dahil olmak üzere hassas cihaz bilgilerini sızdırarak önemli güvenlik riskleri oluşturur. Bu, kullanıcıları olası izleme ve profillemeye maruz bırakır.
CP Plus Intelli Serve, kullanıcı adı ve parolaları düz metin olarak ilettiğinden, bunlar ele geçirilmeye ve çalınmaya karşı savunmasız hale gelir.
Her iki uygulama da kullanıcı verilerini korumak için HTTPS şifrelemesi gibi temel güvenlik önlemlerini uygulamada başarısız oluyor ve bu da kullanıcıları gizlilik ve güvenlik ihlallerine maruz bırakıyor.
100.000’den fazla indirilme ve 13.300’den fazla indirme sayısına sahip popüler mobil uygulamalar olan Latvijas Pasts ve HaloVPN, hassas kullanıcı verilerinin şifrelenmemiş bir şekilde iletilmesi nedeniyle önemli güvenlik riskleri oluşturuyor.
Ağ trafiği analizi ve kod incelemesi, Latvijas Pasts’ın HTTP üzerinden kullanıcı coğrafi konumunu sızdırdığını ortaya çıkardı. Aynı zamanda HaloVPN, cihaz kimliği, dil, model, ad, saat dilimi ve SIM ayrıntıları dahil olmak üzere cihaz bilgilerini ifşa ediyor.
i-Boating: Marine Charts & GPS ve Texas Storm Chasers mobil uygulamalarının hassas kullanıcı verilerini şifrelenmemiş HTTP bağlantıları üzerinden ilettiği tespit edildi.
Özellikle, i-Boating tür ve işletim sistemi sürümü gibi cihaz bilgilerini gönderir. Aynı zamanda, Texas Storm Chasers kullanıcı coğrafi konumunu iletir, bu da kullanıcıları dinleme ve veri ele geçirme gibi potansiyel güvenlik risklerine maruz bırakır, çünkü kötü niyetli aktörler kişisel bilgilerine kolayca erişebilir.
Mobil uygulamalarda şifrelenmemiş veri iletimi sorunu, kullanıcılar için önemli güvenlik riskleri oluşturuyor.
Geliştiricilerin, tüm ağ trafiğinde HTTPS kullanarak, hassas verileri şifreleyerek, düzenli güvenlik denetimleri gerçekleştirerek ve kullanıcı verilerinin korunması konusunda dikkatli olarak uygulama güvenliğine öncelik vermeleri önerilmektedir.
Symantec, kullanıcılarına mobil cihazlarını tehditlere karşı korumak için güvenilir bir güvenlik uygulaması yüklemelerini, güvenilmeyen kaynaklardan uygulama indirmekten kaçınmalarını, yazılımlarını güncel tutmalarını, uygulama izinlerini dikkatle incelemelerini ve önemli verileri düzenli olarak yedeklemelerini öneriyor.
Protect Your Business with Cynet Managed All-in-One Cybersecurity Platform – Try Free Trial