Approov’daki araştırmacılara göre şifreleme, kimlik doğrulama ve imzalama anahtarları Afrika genelinde kullanılan mobil fintech uygulamalarında sıklıkla açığa çıkıyor. Approov’daki araştırmacılar, en sık kullanılan uygulamalar tersine çevrildiğinde şifreleri, uygulama programlama arayüzü (API) anahtarlarını ve kriptografi için özel anahtarları buldu. tasarlandı.
Riskli Mobil İş
Approov, gelir ve indirme sayısına göre en iyi 10 uygulamayı inceledi. Fintech uygulamaları arasında krediler, mobil bankacılık, P2P para transferi, yatırım ve kripto para birimi hizmetleri sunan uygulamalar yer alıyor.
Araştırmayı Approov ile birlikte yürüten CyLab-Africa’da araştırma görevlisi Trevor Henry Chiboora, incelenen uygulamalardan bazılarının yalnızca Afrika’da kullanıldığını, bazılarının ise Afrika’daki bölgelere coğrafi olarak kilitlendiğini söylüyor. Ayrıca tüm uygulamaların Google Play Store’dan indirildiğini de doğruladı.
Kripto uygulamalarının güvenlik açısından en kötü uygulama olduğu belirlendi; bunların %33,3’ü yüksek riskli, %53,3’ü ise orta riskli olarak derecelendirildi.
Yüksek risk kategorisi, özel anahtarları, ödeme veya transfer hizmetleri anahtarlarını ve “kimlik doğrulama” veya “doğrulama” anahtarlarını ifşa ettiğinden, açığa çıkması durumunda son derece tehlikeli olarak kabul edilir. Araştırmacılar, bu sırların açığa çıkmasının potansiyel olarak yetkisiz erişime, veri ihlallerine ve kullanıcı gizliliğinin tehlikeye atılmasına yol açabileceğini söyledi.
Orta risk kategorisi sırları, açığa çıkması halinde kullanıcı verilerinin ve uygulama işlevselliğinin gizliliğini tehlikeye atabilecek hassas verileri içerir. Her ne kadar yüksek önem derecesine sahip sırlar kadar kritik olmasa da, bu sırların ele geçirilmesi yine de önemli sonuçlara yol açabilir.
Chiboora, uygulamalardaki güvenlik düzeyleri konusunda genel bir ihmal olduğunu ancak kripto uygulamalarının diğer birçok kategoriye göre daha geniş bir kullanıcı tabanına ve coğrafi kapsama alanına sahip olduğunu söylüyor.
Araştırma, kişisel finans uygulamalarının %22,2’sinin yüksek riskli ve %66,7’sinin orta riskli olarak derecelendirildiğini buldu. Ödeme ve transfer uygulamaları ise %19,1’i yüksek riskli, %76,6’sı orta riskli olarak değerlendirilerek ikinci sırada yer aldı. İncelenen toplam 224 başvurudan yalnızca %5,4’ünde hiçbir ayrıntı ortaya çıkmadı.
Gizli Anahtar Ortaya Çıktı
Analizi yapmak için araştırmacılar her uygulamanın kimliğini topladı ve Android Uygulama Paketlerini indirmek için otomatik bir komut dosyası kullanarak uygulamalara ters mühendislik uygulandı ve riskli öğeler açısından tarandı.
Kriptografik API anahtarları, özel anahtarlar ve parolalar, uygulamanın kimliğini doğrulamak ve korunan kaynaklara veya hizmetlere erişime yetki vermek ve ayrıca uygulama ile sunucu arasındaki veri alışverişinin bütünlüğünü ve güvenliğini sağlamak için kullanılır.
Genellikle bir API ikili bir amaca hizmet eder: Uygulamayı arka uç API’sine tanımlar ve istekte bulunan uygulamanın meşruiyetini doğrular, böylece istekte bulunan varlık ile API arka ucu arasında net bir bağlantı kurar. Bu mekanizma, yetkisiz veya anonim erişim girişimlerini etkili bir şekilde önler ve veri taleplerinin akışını düzenlemek için bir araç sağlar.
Araştırmacılar, API anahtarlarının (özellikle Google, AWS ve diğer bulut hizmetleriyle ilgili olanlar) ifşa edilmesinin, yetkisiz kullanıma yol açabileceğini, bunun da beklenmedik maliyetlere yol açabileceğini veya entegre özelliklerin işlevselliğini bozabileceğini iddia etti.
Chiboora, “Anahtarlar, hizmetlere erişimi doğruladıkları ve yetkilendirdikleri için verilerin güvenliği ve gizliliği açısından hayati önem taşıyor” diyor ve bu ayrıntıların çoğu zaman uygulama kullanıcılarından gizlendiğini ekliyor. “Uygulama geliştiricilerin bu anahtarları uygulamanın dışına ve buluta taşımasına olanak tanıyan mobil siber güvenlik yöntemleri var; bu daha iyi bir yaklaşım ve daha iyi güvenlik için bir öneridir.”
Araştırmacılar, bu gizli bilgilerin uygulamanın kimliğini doğrulamak ve yetkisiz erişime, tahrifata veya veri ihlallerine karşı koruma sağlamak için gerekli olduğunu söyledi. Bu gizli anahtarlar genellikle bu uygulamaların derlenmiş kaynak kodunda bulunur ve ayrıca yanlışlıkla GitHub gibi halka açık depolarda yayınlanabilir.
Approov CEO’su Ted Miracco, finansal hizmetler dünya çapında mobil platformlar aracılığıyla daha dijital hale geldikçe ve erişilebilir hale geldikçe, gizli bilgilerin ifşa edilmesiyle ilgili potansiyel risklerin arttığını söyledi. “Geliştiriciler artık ‘resmi’ uygulama mağazalarına veya yerel istemci işletim sistemi güvenliğine güvenemez ve uçtan uca güvenliğin uygulamanın kendisinde yerleşik olmasını sağlamalıdır” dedi.