Mobil kötü amaçlı yazılım analistleri, 45 milyondan fazla uygulama yüklemesinden hassas kullanıcı verilerini toplayan Google Play Store’da bulunan bir dizi uygulama hakkında uyarıyor.
Uygulamalar bu verileri, pano içeriğini, GPS verilerini, e-posta adreslerini, telefon numaralarını ve hatta kullanıcının modem yönlendirici MAC adresini ve ağ SSID’sini yakalama özelliğini içeren bir üçüncü taraf SDK aracılığıyla topladı.
Bu hassas veriler, kötü sunucu/veritabanı güvenliği nedeniyle kötüye kullanılırsa veya sızdırılırsa kullanıcılar için önemli gizlilik risklerine yol açabilir.
Ayrıca, pano içeriği, üçüncü taraf bir veritabanında saklanmaması gereken kripto cüzdan kurtarma tohumları, şifreler veya kredi kartı numaraları dahil olmak üzere potansiyel olarak çok hassas bilgiler içerebilir.
Bu SDK’nın kullanımını keşfeden AppCensus’a göre, toplanan veriler SDK tarafından paketlenir ve Panama merkezli bir analitik firması olan Measurement Systems’a ait gibi görünen “mobile.measurelib.com” alanına iletilir.
Firma, uygulamalar için bir para kazanma fırsatı olarak Coelib adlı bir veri toplama SDK’sını tanıtıyor ve bunu yayıncıların gelir elde etmesi için reklamsız bir yol olarak tanıtıyor.
AppCensus araştırmacıları, SDK’nın kitaplığındaki dizelerin çoğunun AES şifrelemesi kullanılarak gizlendiğini ve ardından base64 ile kodlandığını söylüyor.
“Ve yine de dizelerinizi şifrelemeyi gerektiren tehdit modeli nedir?! En azından, yalnızca 10 tur anahtar türetme yapmaları bir rahatlama, çünkü bu aşırı kod bloğu yürütülür. her seferinde bu kitaplık tarafından bir dizenin kullanıldığını (uygulamayı geciktirerek ve pil ömrünü boşa harcadığını),” açıklamasında AppCensus onların raporu.
(Uygulama Sayımı)
Bu SDK’yı kullanan uygulamalar
Hassas kullanıcı verilerini göndermek için bu SDK’yı kullandığı tespit edilen en popüler ve indirilen uygulamalar şunlardır:
- Hız Kamerası Radarı – 10 milyon kurulum (telefon numarası, IMEI, yönlendirici SSID, yönlendirici MAC adresi)
- Al-Moazin Lite – 10 milyon kurulum (telefon numarası, IMEI, yönlendirici SSID, yönlendirici MAC adresi)
- WiFi Fare – 10 milyon kurulum (yönlendirici MAC adresi)
- QR ve Barkod Tarayıcı – 5 milyon kurulum (telefon numarası, e-posta adresi, IMEI, GPS verileri, yönlendirici SSID, yönlendirici MAC adresi)
- Kıble Pusulası Ramazan 2022 – 5 milyon kurulum (GPS verileri, yönlendirici SSID, yönlendirici MAC adresi)
- Basit hava durumu ve saat widget’ı – 1 milyon kurulum (telefon numarası, IMEI, yönlendirici SSID, yönlendirici MAC adresi)
- Handcent Next SMS-Metin w/MSS – 1 milyon kurulum (e-posta adresi, IMEI, yönlendirici SSID, yönlendirici MAC adresi)
- Smart Kit 360 – 1 milyon kurulum (e-posta adresi, IMEI, yönlendirici SSID, yönlendirici MAC adresi)
- Al Kuran mp3 – 50 Okuyucu ve Çeviri Ses – 1 milyon kurulum (GPS verileri, yönlendirici SSID, yönlendirici MAC adresi)
- Tam Kuran MP3 – 50+ Dil ve Çeviri Ses – 1 milyon kurulum (GPS verileri, yönlendirici SSID, yönlendirici MAC adresi)
- Audiosdroid Ses Stüdyosu DAW – 1 milyon kurulum (telefon numarası, IMEI, GPS verileri, yönlendirici SSID, yönlendirici MAC adresi)
Tüm bu uygulamaların 20 Ekim 2021’de Google’a bildirildiğini ve daha sonra araştırılıp Play Store’dan kaldırıldığını belirtmek önemlidir.
Ancak yayıncıları, veri toplama SDK’sını kaldırıp yeni, güncellenmiş sürümleri inceleme için Google’a gönderdikten sonra bunları Play Store’da yeniden kullanıma sunmayı başardı.
Kullanıcılar uygulamaları daha önceki bir tarihte yükleseydi, SDK akıllı telefonlarında çalışmaya devam ederdi, bu nedenle bu durumda kaldırma ve yeniden yükleme tavsiye edilir.
Ne yazık ki, veri toplama kitaplıkları arka planda sessizce çalışarak veri toplarken, kullanıcıların kendilerini onlardan korumaları zordur. Bu nedenle, yalnızca uzun süredir çok incelenen uygulamalar geçmişine sahip güvenilir geliştiricilerin uygulamalarını yüklemeniz önerilir.
Başka bir iyi uygulama, cihazınıza yüklenen uygulama sayısını gerekli minimum düzeyde tutmak ve istenen izinlerin aşırı geniş olmamasını sağlamaktır.
Bleeping Computer, yukarıda listelenen uygulamaların tüm yayıncılarıyla ve SDK sağlayıcısıyla iletişim kurdu ve bu gönderiyi, yorumları alır almaz güncelleyeceğiz.
Listelenen uygulamalardan birinin yayıncısı olan ‘Basit hava durumu ve Saat Widget’ı, BleepingComputer’a şu ifadeyi verdi:
“Bu olay için kullanıcılarımızdan gerçekten özür dilemek istedik. Bu bizim hatamız değildi. Diğer birkaç geliştirici gibi biz de yanlış yönlendirildik.
Measurementsys’e ait SDK’nın bazı Android güvenlik açıklarından yararlandığını, belirsiz ve gizlilik açısından sorgulanabilir bir şekilde çalıştığını doğruladıktan hemen sonra, arızalı SDK’yı acilen kaldırdık, bir güncelleme yayınladık ve bu ortakla ilişkimizi sonlandırdık.
Tam şeffaflığı ve güvenliği önemsiyoruz, uygulamalar oluşturuyor ve bunları da kullanıyoruz. Bu olayın uygulamamız üzerinde çok kötü bir etkisi oldu, bu durumun bir daha asla yaşanmaması için her türlü çabayı göstereceğiz.”