Heartbleed Güvenlik Açığı Mobil Uygulamaları da Etkiledi

Sayısız web sitesi ve sunucuyu etkileyen Heartbleed güvenlik açığının ciddiyeti ortalağı çalkalıyor. Github yürütülmekte olan bir test ilk 10.000 (Alexa verilerine gore) web sitesinden en az 600 tanesinin bu güvenlik açığına sahip olduğunu gösterdi. Tarama sırasında sorundan etkilenmiş gözüken web siteleri arasında Yahoo, Flickr, OKCupid, Rolling Stone ve Ars Technica bulunuyordu.

Bu açığın geniş kapsamı göz önüne alındığında hemen akıllara bir soru geliyor. “Mobil cihazlar bu durumdan etkilendi mi?” Kısa cevap: evet.

Beğenin yada beğenmeyin mobil uygulamalar da web siteleri gibi Heartbleed güvenlik açığından etkilendi. Çünkü uygulamalar genellikle çeşitli fonksiyonları yerine getirmek için sunuculara ve web servislerine bağlanmaktadır. Daha önceki blog yazımızda bahsettiğimiz gibi çok sayıda alan adı bu güvenlik açğından etkilendi.

Bir uygulamanın içinden bir servis için ödeme yaptığınızı ve bunun için kredi kartı bilgilerinizi düşünün. Siz bunu yaparken mobil uygulama da işlemi sizin için tamamlar. Siz oyununuz ile vakit geçirirken kredi kartı bilginiz mobil uygulamanın işlemi yaptığı sunucuda tutulur ve belki de belli bir süre burada saklanır. Böyle bir durumda siber suçlular Heartbleed güvenlik açığının avantajlarını kullanarak bu sunucuyu hedef alabilir ve size ait bilgileri (kredi kartı numarası gibi) sunucudan çalabilir. Olay işte bu kadar basit ve kolay gerçekleşmektedir.

Peki ya içinden alışveriş yapılmayan uygulamalar? Onlar bu güvenlik açığından korunuyor mu? Pek sayılmaz. İşin içine kredi kartınız karışmasa da uygulama online bir sunucuya bağlandığı sürece savunmasızdır. Örneğin uygulama ücretisz bir ödül karşılığında sizden bir sosyal ağda kendilerini “beğenmenizi” veya “takip” etmenizi isteyebilir.

Bunu yapmaya karar verip “Tamam” tuşuna bastığınızı düşünelim. Büyük ihtimalle uygulama sosyal ağa ait websitesini uygulama içi tarayıcı ile açacak ve giriş yapmanızı isteyecektir. Giriş yapacağınız sosyal ağların hepsi Heartbleed güvenlik açığına sahip demiyoruz ancak böyle bir riskin olduğu gerçeğini de göz ardı etmemek lazım.

Durumu derinlemesine incelediğimizde, popüler mobil uygulamalar tarafından kullanılan bazı web servislerinin Heartbleed güvenlik açığına sahip olduğunu gördük.

Google Play üzerindeki 390.000 uygulamayı taradık ve 1.300 civarında uygulamanın güvenlik açığına sahip sunuculara bağlandığını gördük. Bunlardan 15 tanesi bankacılık uygulaması, 39 tanesi online ödeme uygulaması ve 10 tanesi ise alışveriş uygulaması. Ayrıca çok sayıda kişinin kullandığı hızlı mesajlaşma uygulamaları, sağlık uygulamaları, klavye girişi uygulamaları ve en önemlisi mobil ödeme uygulamaları gibi pek çok popüler uygulamaya rastladık. Bu uygulamalar hassas kişisel ve finansal bilgileri içeriyor ve bunlara ait veriler siber suçlular için çok değerli.

Peki, Heartbleed güvenlik açığına karşı ne yapabiliriz? Korkarım ki çok fazla bir şey yapamayız. Şifrelerinizi değiştirmenizi öneririzancak uygulama geliştiricileri ve web sunucusu sağlayıcılar problemi kendi taraflarında halletmediği sürece bu da çok fazla bir işe yaramayacaktır. Bunun için OpenSSL’in yamanmış sürümünün kurulması veya en azından heartbeat uzantısının devre dışı bırakılması gerekiyor.

O zamana kadar, size tavsiyemiz uygulama geliştiriciniz güvenlik açğına karşı bir yama yayınlayana kadar, uygulama içi satın almalardan ve her türlü finansal işlemlerden bir süre kaçınmanızdır. Heartbleed güvenlik açığı ile ilgili olarak size güncel bilgileri sunmaya devam edeceğiz.

Güncelleme: 11, Nisan 2014, 18:45

İkinci kez tarama yaptığımızda 7000 civarında uygulamanın güvenlik açığı olan sunuculara bağlandığını gördük. 

Bir cevap yazın

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.