Tehdit aktörleri genellikle hassas veriler ve konum bilgileri de dahil olmak üzere kişisel verileri çalmak için flört uygulamalarına saldırır ve bu veriler kimlik hırsızlığı, insanları şantaj veya diğer kötü amaçlı faaliyetlerde kullanılabilir.
Bu uygulamalar kişisel deneyimlerin ve sohbetlerin altın madeni olduğundan, bilgisayar korsanları bunları kötü niyetli faaliyetleri için kazançlı seçenekler olarak değerlendiriyorlar.
DistriNet Araştırma Birimi’ndeki siber güvenlik araştırmacıları yakın zamanda 15 popüler flört uygulamasında hesap oluşturmanın kullanılabilirliğini, veri transfer yöntemlerini ve gizlilik maddelerini analiz etti.
Analizlerinde, konum tabanlı flört uygulamalarının, potansiyel eşleşmelerle kişisel ve hassas bilgileri paylaşarak kullanıcıları gizlilik risklerine maruz bıraktığını tespit ettiler.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Arkadaşlık Uygulamaları Konum Ayrıntılarını Açığa Çıkarıyor
Konum tabanlı flört (LBD) uygulamaları, romantik veya sosyal amaçlar için potansiyel partnerleri önermek amacıyla yakınlık ve kullanıcı tercihlerini kullanan mobil uygulamalardır.
Bu değerlendirmede, 15 tanınmış LBD uygulamasının kullandığı veri toplama teknikleri ve gizlilik kontrolleri ile bunların konum çıkarımı saldırılarına karşı duyarlılıkları incelendi.
Aşağıda analiz edilen 15 uygulamadan bahsettik:
- Tinder
- Badoo
- POF
- Benimle tanış
- Etiketlendi
- Grindr
- Tantan
- Jaum
- LOVOO
- olmuş
- Zıplama
- Menteşe
- Hily
- OkCupid
- Tanışmak
Çok sayıda uygulama, kullanıcıların demografik özellikleri, cinsel yönelimleri ve sağlık kayıtları gibi kişisel ve hassas bilgileri topluyor.
Diğerleri ise profil oluşturmadan önce bazı alanların doldurulmasını gerektirir.
Birkaç uygulamada, onları kullanan kişileri bulmayı kolaylaştıran ve tam konumlarını ortaya çıkarmaya yardımcı olan trilaterasyon gibi zayıf noktalar vardı. Ayrıca, bazı uygulamalarda gizli verileri ifşa eden API güvenlik açıkları vardı.
Bu, LBD’nin ne kadar güvensiz olabileceğini vurgular ve ayrıca çevrimiçi tanışma hizmetlerinin bu hızla büyüyen segmentinde kişisel veriler için daha fazla koruma, daha fazla kullanıcı açıklığı ve daha iyi güvenlik politikalarına olan ihtiyacı ortaya koyar.
Çoğu LBD uygulamasının gizlilik politikaları önemli olmakla birlikte, bunların ayrıntı ve şeffaflık düzeyleri önemli ölçüde farklılık gösterir.
Birçok politika hassas verilerin ve konum bilgilerinin işlendiğini kabul etse de, genellikle belirli gizlilik kontrollerini veya potansiyel riskleri sağlamada başarısız oluyor.
Bunun dışında belirtilen politikalar ile gerçek uygulama davranışları arasında, özellikle konum izinleri, profil görünürlük seçenekleri ve veri paylaşım uygulamaları açısından dikkate değer farklılıklar bulunmaktadır.
Örneğin, 15 uygulamadan yalnızca 3’ü, politikalarına aykırı olarak bir cihazda çalışmak için coğrafi konum iznine ihtiyaç duyduğunu iddia ediyor.
Ayrıca, yalnızca iki uygulama, hangi kullanıcı verilerinin başkaları tarafından görülebileceğini tam olarak belirtiyor.
Araştırma, bazı uygulamaların gizlilik garantilerini baltalayan API açıkları yoluyla veri sızdırdığını gösteriyor.
Bu sonuçlar, LBD uygulamalarında kişisel bilgilerin gerçek işlenmesinin gizlilik politikası bildirimlerinden ne kadar uzak olabileceğini vurgulamaktadır.
Bu durum, daha fazla şeffaflığa, daha iyi kullanıcı yönetimi araçlarına ve politika açıklamaları ile gerçek hayattaki koruma düzenlemeleri arasında daha fazla açıklığa acil ihtiyaç olduğunu göstermektedir.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo