85 milyonun üzerinde kuruluma sahip Android uygulamaları, onları çocuklarını izlemek için kullanan ebeveynleri gözetliyor ve hatta bazıları kötü amaçlı sitelere bağlantılar içeriyor. Uzmanlar, çocukların verilerini üçüncü taraf satıcılara ifşa etmenin tamamen güvenli olmadığını düşünüyor.
Ebeveynlerin çocuklarının güvenliği konusundaki endişeleri, dijital çağda gözetime dönüşmüştür. 2021’de yapılan bir anket, ABD’deki ebeveynlerin yarısının ebeveyn kontrolü uygulamaları kullandığını gösterirken, Birleşik Krallık’ta yapılan bir başka anket, çocuklarında en az %40 GPS izleme kullandığını buldu.
Cybernews ekibi tarafından yapılan yeni araştırma, çocuklarınızı izlemenin iki ucu keskin bir kılıç olabileceğini gösteriyor: Ebeveynler bunu dijital olarak yaparken, uygulamalar verilerini toplama fırsatını kullanıyor. Ayrıca, güvenliği sağlaması gereken uygulamalar her zaman en yüksek güvenlik standartlarına uymaz.
Araştırmacılar, 10 popüler uygulamadan dördünün bazı güvenlik sağlayıcıları tarafından kötü amaçlı kabul edilen bağlantılar içerdiğini ve ekibimizin incelediği tek bir Android uygulamasının gizlilik açısından en yüksek notu almadığını buldu.
Siber güvenlik ve etik bir bilgisayar korsanlığı şirketi olan Casaba Security’nin kurucu ortağı Jason Glassberg’e göre, izleme uygulamaları yalnızca çocukların gizliliğini ihlal etmekle kalmıyor, aynı zamanda çocukların bilgilerini yetkisiz izleyicilere ifşa edebiliyor.
Glassberg Cybernews’e verdiği demeçte, “Bu, en azından onlar hakkında tonlarca veri toplayacak olan çocuğunuzun telefonuna açılan bir arka kapıdır ve en kötü senaryoda çok daha kötü niyetli şeyler yapmak olabilir.”
Milyonlarca kullanıcı
Ekip, Google Play mağazasında bulunan ve çocukları veya aile üyelerini izlemek için tasarlanmış 10 Android uygulamasını analiz etti. Google’ın metriklerinin sınırlamaları nedeniyle, kümülatif uygulama yüklemelerinin tam sayısını söylemek mümkün değil.
Ancak açık kaynak verileri, bu araştırma kapsamındaki çocuk izleme uygulamalarının 85 milyondan fazla kez yüklendiğini gösteriyor. Kesin sayı değişse de, on milyonlarca insanın bu uygulamaları indirdiğini söyleyebiliriz.
İncelenen uygulamaların her biri bir milyondan fazla kez yüklendi ve en popüleri 50 milyonun üzerinde kurulumla övündü.
Ekip, seçilen izleme uygulamalarının güvenliğini ve gizliliğini değerlendirmek için ortak bir açık kaynaklı uygulama güvenlik analiz aracı olan Mobil Güvenlik Çerçevesini (MobSF) kullandı.
Güvenlikle ilgili olarak, puan sıfırdan 100’e kadar değişir ve ikincisi en çok istenen sonucu temsil eder. MobSF çerçevesindeki gizlilik derecesi harf tabanlıdır ve A ile F arasında değişir ve A en çok istenen notu gösterir.
En düşük derece
10 uygulamadan yedisi gizlilik için B aldı ve ikisine C verildi. 50 milyonun üzerinde kuruluma sahip bir uygulama, Phone Tracker By Number (6.28), “kritik bir risk” göstererek en düşük notu aldı.
ABD’de sosyal kategoride 47. en iyi ücretsiz uygulama olarak yer alan en kötü dereceli uygulama, Android amaçlarını açık tutmak gibi şüpheli güvenlik yaklaşımları sergiledi. Yani uygulama, bir uygulamanın işletim sistemi (OS) veya başka bir uygulama tarafından yayınlanan mesajlara yanıt vermesine izin veren Android bileşenleri olan Yayın Alıcılarını paylaşır.
Yayın Alıcılarını diğer uygulamalarla paylaşmak, Numaraya Göre Phone Tracker’a cihazdaki diğer belirtilmemiş uygulamalar tarafından erişilebileceği ve tehdit aktörlerinin manevra yapması için çok fazla alan bırakabileceği anlamına gelir. Cihazdaki kötü amaçlı bir uygulama, izleme uygulaması verilerine teorik olarak erişebilir ve tehdit aktörünün bir ebeveynin izlediği bir çocuğun konumunu bilmesini sağlayabilir.
Ekip, Güvenli Yuva Katmanı (SSL) sertifika işlemenin güvenli olmayan bir şekilde uygulanması nedeniyle uygulamanın ortadaki adam (MITM) saldırılarına karşı savunmasız olduğunu tahmin etti. Bu izinsiz girişler, saldırganlar kendilerini veri gönderici ve alıcı arasına soktuğunda ortaya çıkar. Örneğin, Phone Tracker By Number geliştiricileri veya tehdit aktörleri, teorik olarak uygulama üzerinden akan trafiği gözetleyebilir.
Family Locator – GPS Tracker & Find Your Phone App (5.29.2) (10 milyon + kurulum), Family GPS tracker KidsControl (k5.3.6) (1 milyon+) ve FamiSafe: Ebeveyn Kontrolü Uygulaması (5.7.0.204) (1 milyon+) ) ayrıca MITM saldırılarına karşı savunmasız kabul edildi.
Siber istihbarat şirketi Prevailion’un CEO’su ve Mandiant’ın eski istihbarat direktörü Karim Hijazi’ye göre, bağımsız izleme uygulamalarının arkasındaki kuruluşlar, kodun güvenli olduğundan emin olmak için güçlü yazılım geliştirme programlarına sahip olmayabilir. Maliyetleri azaltmak için şirketler, açık kaynaklı kitaplıklardan veya diğer geliştiriciler tarafından oluşturulan belirli özelliklerden üçüncü taraf kodu kullanır.
“Bu, ucuz sosis yapmak gibi ve içine ne tür malzemelerin girdiğini bilmiyorsunuz. Son kullanıcı için sorun, uygulamada ne olduğunu veya kaç farklı tarafın aldığını gerçekten bilmiyor olmanızdır. Bu bilgi, “Hijazi Cybernews’e söyledi.
Çocuğun verilerini dış kaynak kullanımı
Bir ironi olarak, analiz edilen tüm uygulamalar, çocukları izlemek için tasarlanan uygulamalar içinde paketlenmiş üçüncü taraf izleyicilere sahipti. Bu, her iki tarafın, ebeveynlerin ve çocukların benzer şekilde verilerinin toplandığı anlamına gelir. Uygulamanın birincil amacının mahremiyet ihlali olduğu düşünüldüğünde, bu hiç de şaşırtıcı değil.
Bir siber güvenlik firması Social-Engineer’ın CEO’su Chris Hadnagy, arkasındaki şirket dürüst değilse, bir uygulamanın bu verileri kötü amaçlı amaçlar için kolayca kullanabileceğini düşünüyor.
Hadnagy, “Çocuk uygunsuz veya hassas bir fotoğraf gönderirse, o uygulamanın buna erişimi olabilir. Hesaplar, şifreler, kişisel bilgiler gibi uygulamayla paylaşılan her şey, uygulamanın ihlali durumunda açığa çıkabilir” dedi. Cybernews’e anlattı.
Hijazi’ye göre, uygulamaları takip eden şirketler, uygulamayı yükleyen kişiyi izlemek için belirli veriler topluyor. Üçüncü taraflar, bu bilgileri hedefli reklamcılıktan izlemeye kadar çeşitli amaçlar için yararlı bulabilir.
“Orijinal uygulama şirketinden ve üçüncü taraf bileşenlerinden bu bilgileri satın alıp yeniden satan tüm farklı varlıkları planlamaya başladığınızda, küçük bir uygulama için bile muazzam bir ekosistem olduğunu göreceksiniz. kullanıcılar ve özellikle ebeveynler endişelenmeli” dedi.
“Ucuz sosis yapmak gibi ve içine ne tür malzemelerin girdiğini bilmiyorsunuz”
Siber istihbarat şirketi Prevailion’un CEO’su Karim Hijazi, Cybernews’e verdiği demeçte.
İki uygulamada dokuz izleyici keşfedildi: Çocuklarımı bul: konum izleyici (1.9.5) (10 milyon +) ve Aile Bulucu – GPS İzleyici ve Telefon Uygulamasını Bul (5.29.2). Diğer iki, Çocuk Telefonu İçin MMGuardian Uygulaması (3.10.26) (1 milyon +) ve Telefonumu Bul. Familo’nun (2.70.6) (1 milyon +) Aile GPS Konumlandırıcısı, sekiz izleyiciye sahipti. İki tane daha, Ailem bulucu, GPS izci (5 milyon +) ve FamiSafe: Ebeveyn Kontrolü Uygulaması (5.7.0.204), yedi izleyiciye sahipti.
Numaraya Göre Telefon İzleyici (6.2.8) altı izleyiciye, MMGuardian Ana Uygulaması (3.6.77) (1 milyon +) beş izleyiciye, Pingo by Findmykids (2.4.83) (5 milyon +) üç izleyiciye ve yalnızca iki izleyiciye sahipti. Family GPS tracker KidsControl’de (k5.3.6) bulunur.
Uygulama adları, Google Play Store’daki geliştiriciler tarafından sık sık değiştirilebilir ve bunlar, yazı yazılırken Cybernews ekibi tarafından keşfedilen doğru adlardı.
gevşek güvenlik
Ekip, popüler izleme uygulamalarının iç kısımlarına bakıldığında, hepsinin sabit kodlanmış uygulama programlama arabirimi (API) anahtarlarını sakladığını keşfetti. Genellikle API anahtarları, uygulamaların bireysel kullanıcıları tanımasına izin vermek için kimlik doğrulama amacıyla kullanılır ve bunun tersi de geçerlidir. API anahtarlarının saklanması, bir tehdit aktörü bunlara erişmenin bir yolunu bulursa güvenlik sorunlarına yol açabilir.
Telefonumu bul. Familo’nun Family GPS Locator’ı en fazlasına sahipti: uygulamada sabit kodlanmış dört API anahtarı. Dört uygulamanın her birinde üç, kalan ikisinde bir çift vardı.
Sabit kodlanmış API anahtarlarının çoğu, uygulama verilerini, tehdit aktörleri için çok hassas veya yararlı olmayan bilgileri korumak içindir. Ancak ekip, bazı sabit kodlanmış API anahtarlarının kullanıcı verilerini korumaktan sorumlu olabileceğini belirtti.
Örneğin, Numaraya Göre Telefon İzleyici, sabit kodlanmış bir “Hesap Kiti İstemcisi” belirtecine sahipti. Bu ‘ana anahtarı’ bir tehdit aktörüne kaybetmek, hassas kullanıcı verilerinin kaybolmasına neden olabilir. Telefonumu bul. Familo’nun Family GPS Locator’ı ayrıca potansiyel olarak hassas bir API anahtarına sahipti.
Endişe verici bir şekilde ekip, incelenen 10 uygulamadan dördünün bazı güvenlik sağlayıcıları tarafından kötü niyetli kabul edilen bağlantılar içerdiğini keşfetti. Bu, uygulamaya kötü amaçlı yazılım bulaştığı anlamına gelmese de uygulama içindeki bağlantılar, kullanıcıları kötü amaçlı yazılım içeren web sitelerine yönlendirebilir.
Örneğin, FamiSafe: Ebeveyn Kontrolü Uygulaması (5.7.0.204), bazı güvenlik sağlayıcılarının düşündüğü iki bağlantı içeriyordu. Aynı zamanda, Numaraya Göre Telefon İzleyici (6.28), Çocuklarımı bul: konum izleyici (1.9.5), Aile GPS izci KidsControl (k5.3.6)’nın her birinde potansiyel olarak kötü amaçlı bir bağlantı vardı.
“>
Buna değer mi?
İzleme uygulamalarının arkasında insanlar olduğu sürece, mutlak güvenliği garanti etmenin hiçbir yolu yoktur. Günün sonunda, ebeveynler, çocuklarının telefonuna potansiyel olarak zararlı bir uygulama yüklemenin, sözde sağladığı güvenlik duygusuna değip değmeyeceğine karar vermelidir.
Konuyu tartıştığımız uzmanlar konuyla ilgili farklı görüşlere sahipti. Örneğin Hadnagy, çocukları izlemenin siber güvenli bir çözüm olabileceğini söyledi. Ancak, ebeveynler ne indirdiklerini araştırmak için biraz zaman harcamalıdır.
Hadnagy, “En azından ebeveynlerin bu uygulamalar hakkında çevrimiçi araştırma yapmasını tavsiye ederim. Yazılımla ilgili başka incelemeler olup olmadığını ve uygulamayla ilgili kullanıcı deneyimini görmek için Google’da arama yapmak kolaydır,” dedi Hadnagy.
Bu arada Glassberg, ebeveynlerin izleme uygulamalarını kullanmamaları gerektiğini, çünkü bunu yapmak, kendileri ve çocukları arasındaki güven bağını ihlal ediyor. Bunun yerine, çocuklara çevrimiçi tımarlamayı nasıl tanıyacaklarını ve tehlikeli web sitelerinden nasıl uzak duracaklarını öğretme gereğini vurguladı.
Hijazi’ye göre, çocuk izleme uygulamalarını kullanmanın yararları, tehlikelerden pek ağır basmıyor. Veri koruma yasaları, veri toplayıcıların bunlarla neler yapıp yapamayacağını şart koşsa da, uygulama geliştiricilerinin toplanan verileri nasıl kullandığını veya gelecekte nasıl kullanılacağını gerçekten bilmenin bir yolu yoktur.
“Çocuğun telefonuna bu tür bir uygulamayı yükleyerek, en kişisel cihazlarına tam yetenekli bir truva atı yerleştirmiş olursunuz; bu, tarama etkinliklerine, iletişimlerine, arkadaşlarına vb. gerçek zamanlı konum,” dedi Hijazi.
Cybernews’den daha fazlası:
Dönem izleyici veri ticareti, insan hakları korkularını artırıyor
Dolandırıcılar, sahte telif hakkı ihlali e-postalarıyla LockBit fidye yazılımını maskeliyor
Ukrayna’da bombaları kaldıracak robot köpek
Firmalar, üçüncü taraf sağlayıcı hataları için yanıt planlarına sahip olmalıdır – görüşme
Killnet, Kaliningrad’ı etkileyen AB yaptırımları konusunda Litvanya’yı vurdu
Abone olmak bizim için haber bülteni