DeSouza
New member
Altı tanınan taşınabilir uygulamada bulunan önemli bir güvenlik açığı, potansiyel olarak milyonlarca kullanıcının şahsi ve hassas datalarını çevrimiçi olarak sızdırmış olabilir. Araştırmacı Mikail Tunç, Aralık 2021’in sonlarında hem Android tıpkı vakitte iOS’taki birden çok taşınabilir uygulamanın kimlik doğrulama hizmetlerini yanlış yapılandırdığını keşfetti. Bu uygulamaların servis sağlayıcı Onfido’nun önerdiği formları takip etmediğini tespit etti.
Art uçta bir API belirteci tutmak yerine, bu belirteçleri ön uçta açıkta tutan uygulamalar, potansiyel olarak biyometrik bilgileri sızdırmış olabilir. Bu açığı Tunç’tan evvel bulan makûs niyetli yazılımcılar kimlik kartları, pasaportlar üzere şahsi olarak tanımlanabilir bilgileri elde edebilirdi. Buna ek olarak ehliyetler, e-postalar, tam isimler yahut fizikî adresler de tehlikede bulunuyor. Ayrıyeten, biroldukça kimlik doğrulama hizmetinin gerektirdiği selfie görüntüler da çalınmış olabilir.
Açığın birinci kere Tunç tarafınca bulunduğu belirtiliyor, yani bilgiler şimdilik inançta. Lakin durumun sahiden bu biçimde olup olmadığı hala net değil. Bu belirteçlerin ek bir güvenlik tedbiri olarak ekseriyetle bir son kullanma tarihi bulunuyor. Lakin, açıkta kelamı edilen belirteçlerin bir son kullanma tarihi yok, bu da tehdidi fazlaca daha büyük hale getiriyor.
Haberi birinci kez yayınlayan CyberNews’e göre, etkilenen uygulamalar içinde beş milyondan fazla kullanıcıya sahip bir ticaret platformu olan FxPro Direct App, bir milyondan fazla kullanıcıya sahip bir otomobil kiralama aracı olan Europcar, tasarruf uygulaması Chip, alışveriş uygulaması Hoolah, kripto para uygulaması Modu ve bir otomobil paylaşım hizmeti olan Greenwheels bulunuyor.
Art uçta bir API belirteci tutmak yerine, bu belirteçleri ön uçta açıkta tutan uygulamalar, potansiyel olarak biyometrik bilgileri sızdırmış olabilir. Bu açığı Tunç’tan evvel bulan makûs niyetli yazılımcılar kimlik kartları, pasaportlar üzere şahsi olarak tanımlanabilir bilgileri elde edebilirdi. Buna ek olarak ehliyetler, e-postalar, tam isimler yahut fizikî adresler de tehlikede bulunuyor. Ayrıyeten, biroldukça kimlik doğrulama hizmetinin gerektirdiği selfie görüntüler da çalınmış olabilir.
Açığın birinci kere Tunç tarafınca bulunduğu belirtiliyor, yani bilgiler şimdilik inançta. Lakin durumun sahiden bu biçimde olup olmadığı hala net değil. Bu belirteçlerin ek bir güvenlik tedbiri olarak ekseriyetle bir son kullanma tarihi bulunuyor. Lakin, açıkta kelamı edilen belirteçlerin bir son kullanma tarihi yok, bu da tehdidi fazlaca daha büyük hale getiriyor.
Haberi birinci kez yayınlayan CyberNews’e göre, etkilenen uygulamalar içinde beş milyondan fazla kullanıcıya sahip bir ticaret platformu olan FxPro Direct App, bir milyondan fazla kullanıcıya sahip bir otomobil kiralama aracı olan Europcar, tasarruf uygulaması Chip, alışveriş uygulaması Hoolah, kripto para uygulaması Modu ve bir otomobil paylaşım hizmeti olan Greenwheels bulunuyor.