Geçen hafta ne zaman Bir güvenlik araştırmacısı, yaygın olarak kullanılan bir telefon izleme uygulamasının milyonlarca kullanıcısından herhangi birinden kesin konum bilgisini kolayca elde edebileceğini, bunu kendimiz görmemiz gerektiğini söyledi.
Vancouver’daki British Columbia Üniversitesi’nde bilgisayar bilimi ve ekonomi öğrencisi olan Eric Daigle, konum izleme uygulamalarının güvenliğine ilişkin bir araştırmanın parçası olarak izleme uygulaması iSharing’deki güvenlik açıklarını buldu. iSharing, bugüne kadar 35 milyondan fazla kullanıcısı olduğunu iddia eden en popüler konum izleme uygulamalarından biridir.
Daigle, hataların, kullanıcı konum verilerini başka kimseyle aktif olarak paylaşmasa bile, uygulamayı kullanan herkesin başka birinin koordinatlarına erişmesine izin verdiğini söyledi. Hatalar ayrıca kullanıcının adını, profil fotoğrafını ve uygulamaya giriş yapmak için kullanılan e-posta adresini ve telefon numarasını da açığa çıkardı.
Hatalar, iSharing sunucularının, uygulama kullanıcılarının yalnızca kendi konum verilerine veya başka birinin kendileriyle paylaştığı konum verilerine erişmesine izin verildiğini doğru şekilde kontrol etmediği anlamına geliyordu.
Gizli “takipçi yazılım” uygulamaları da dahil olmak üzere konum izleme uygulamaları, kullanıcıların kesin konumunun sızması veya açığa çıkması riski taşıyan bir güvenlik kazaları geçmişine sahiptir.
Bu durumda Daigle’ın bu muhabiri birkaç metre aşağıda bulması yalnızca birkaç saniye sürdü. iSharing uygulamasının yüklü olduğu bir Android telefon ve yeni bir kullanıcı hesabı kullanarak araştırmacıya böcekleri kullanarak kesin konumumuzu bulup çıkaramayacağını sorduk.
“Manhattan’da 770 Broadway mi?” Daigle, TechCrunch’ın New York’taki ofisinin telefonun konumunu bildirdiği kesin koordinatlarla birlikte yanıt verdi.
Daigle, güvenlik açığının ayrıntılarını yaklaşık iki hafta önce iSharing ile paylaşmıştı ancak herhangi bir yanıt alamamıştı. İşte o zaman Daigle, TechCrunch’tan uygulama yapımcılarıyla iletişime geçme konusunda yardım istedi. iSharing, hataları 20-21 Nisan hafta sonunda veya sonrasında düzeltti.
iSharing kurucu ortağı Yongjae Chuh, TechCrunch’a bir e-postada şunları söyledi: “Araştırmacıya bu sorunu keşfettiği ve bunun önüne geçebilmemiz için minnettarız.” “Ekibimiz şu anda her kullanıcının verilerinin korunduğundan emin olmak için gerekli güvenlik önlemlerini eklemek üzere güvenlik uzmanlarıyla birlikte çalışmayı planlıyor.”
iSharing, güvenlik açığından, kullanıcıların konumlarını diğer kullanıcılarla paylaşmalarına olanak tanıyan, gruplar olarak adlandırdığı bir özelliği sorumlu tuttu. Chuh, TechCrunch’a şirketin kayıtlarının, hataların Daigle’ın keşfinden önce bulunduğuna dair hiçbir kanıt olmadığını gösterdiğini söyledi. Chuh, sunucularının kullanıcıların diğer kullanıcılardan oluşan bir gruba katılmasına izin verilip verilmediğini kontrol edememesi nedeniyle “bizim tarafımızda bir gözetim olabileceğini” kabul etti.
TechCrunch, Daigle düzeltmeyi onaylayana kadar bu hikayenin yayınını erteledi.
Daigle, TechCrunch’a şunları söyledi: “Toplamda ilk kusuru bulmak, uygulamayı açtıktan, isteklerin biçimini anlamaktan ve başka bir kullanıcı üzerinde bir grup oluşturup ona katılmanın işe yaradığını görmekten yaklaşık bir saat kadar sürdü.”
Oradan, güvenlik hatasını göstermek için bir kavram kanıtlama komut dosyası oluşturmak için birkaç saat daha harcadı.
Güvenlik açıklarını blogunda daha ayrıntılı olarak anlatan Daigle, takip yazılımı ve konum izleme alanında araştırmalara devam etmeyi planladığını söyledi.
TechCrunch’ta daha fazlasını okuyun:
Bu muhabirle iletişime geçmek için +1 646-755-8849 numaralı telefondan Signal ve WhatsApp üzerinden veya e-posta yoluyla iletişime geçin. Dosya ve belgeleri SecureDrop aracılığıyla da gönderebilirsiniz.
Kaynak: https://techcrunch.com/2024/04/24/security-flaws-isharing-tracking-app-exposed-millions-precise-locations/