Çok sayıda tüketicinin uçak bileti rezervasyonu yapmak, otellerden yer ayırtmak gibi seyahat işlemleri için kullandığı popüler mobil seyahat uygulamalarının birçoğunun tüketici verisini tehlikeye atan güvenlik açıklarıyla dolu olduğu öne sürüldü.
Seyahat Uygulamaları Güvenlik Bakımından Adeta Bir Mayın Tarlası Gibi
Mobil uygulama güvenliği şirketi Bluebox Security “2015 Seyahat Uygulaması Güvenlik İncelemesi” raporunda iOS ve Android cihazlarında en çok kullanılan 10 mobil seyahat uygulamasını değerlendirdi. Rapora göre bu uygulamaların neredeyse hiçbirinde kredi kartı bilgilerini, seyahat geçmişini ve diğer hassas veriyi koruyabilecek güvenlik mekanizmaları bulunmamakta. Bluebox bir dizi güvenlik ilkesi doğrultusunda bu uygulamaların gerekli nitelikte olup olmadıklarını test etti.
Ortaya çıkan sonuç oldukça şaşırtıcıydı. Örneğin, on Android uygulamasının yalnızca biri şifreli veriyi uygulamanın aktif olmadığı anda incelerken, iOS seyahat uygulamalarının hiçbirinde bu özellik bulunmamakta. Dolayısıyla, bu uygulamalar tarafından toplanan kullanıcı adı, parola, kredi kartı numarası gibi hassas bilgiler uygulama içerisinde düz metin olarak depolanıyor. Verinin geçiş esnasında şifrelenmesine yönelik önlemler on iOS uygulamasının yalnızca birinde, Android uygulamalarının ise yalnızca ikisinde var.
Bu programların hiçbirinde tehdit unsurlarının uygulamalara yönelik tersine mühendislik işlemleri yapmasını, zararlı kodlar girmesini ve bu kodları yeniden dolaşıma sokmasını önleyecek onaysız değişiklik engelleyici mekanizmalar olmadığı görüldü. Bluebox siber suçluların uygulama kodunun nasıl çalıştığıyla ilgili bilgileri ilk bakışta toplamasını önleyecek en temel gizleme tekniklerini bile yalnızca iki uygulamanın kullandığını söylüyor. Bluebox’a göre Android ve iOS mobil seyahat uygulamalarının biri bile üretici tarafından konulmuş yazılım kısıtlamalarının kaldırıldığı cihazları tespit edecek özelliklere sahip değil.
Kaygı Verici Bir Gidişat
Bluebox incelemesi başka açıkları da ortaya çıkarmakta. Android uygulamalarının yaklaşık yüzde 40’ında, iOS programlarının ise yaklaşık yüzde 60’ında kullanıcılara hata giderme de dâhil olmak üzere uygulamaların tam yönetim yetkisini verdiği özellikler olduğu görülüyor. Bu uygulamalardaki admin/debug kodları aslında son kullanıcılar için değil, geliştiriciler ve test ediciler için eklenen özellikler.
Raporda bu seyahat uygulamalarını geliştiren kişilerin uygulama güvenliğinden ziyade ürünlerine yeni özellikler ve işlevler eklemeye odaklandığı öne sürülmekte. Bluebox inceleme sonuçlarını bildirdiği raporunda “birçok durumda bu uygulamalarda hızlı gelişim kaydetmek için güvenliğin tamamen ihmal edildiğini” ifade ediyor.
Mobil seyahat uygulamalarının ne kadar çok kullanıldığı düşünülürse, bu durumun kaygı verici olduğu söylenebilir. Criteo’nun geçen yıl yayınladığı bir raporda mobil cihazlarla yapılan seyahat rezervasyonlarının sayısının hızla arttığı görülmüştü. Tüm otel rezervasyonlarının yüzde 21’i akıllı telefonlarla ve tabletlerle yapılıyor. Bunun yanı sıra, mobil cihazlarla yapılan uçuş rezervasyonlarının ortalama değerinin, masaüstü bilgisayarlarla yapılan rezervasyonların değerinden yüzde 21 daha fazla olduğu, aynı değerin araba kiralama işlemleri içinse yüzde 13 daha fazla olduğu ifade ediliyor.
Üçüncü Taraf Kod Kullanımı
Diğer bir ciddi sorunun ise mobil seyahat uygulamalarındaki kodların yoğun bir şekilde yeniden kullanılması olduğu görülüyor. Bluebox’ın incelediği uygulamalardaki kodların yalnızca yüzde 30’u marka tarafından geliştirilmiş. Kodların geri kalanıysa üçüncü taraf yazılım bileşenlerinden ve çeşitli kaynaklardan derlenen kitaplıklardan oluşuyor.
Mobil uygulama oluşturmak için sık sık dış kaynaklardan alınan kodlar kullanılmakta. Birçok geliştirici ürünlerinde veri depolama ve ağ oluşturma gibi temel işlevleri entegre etmek için bu tarz kodları kullanır. Uygulama geliştiricileri bu sayede bir yandan kendi uzmanlık alanlarına yoğunlaşırken bir yandan da ürünlerini piyasaya daha hızlı sürebiliyor.
Gelgelelim, Bluebox incelenen seyahat uygulamalarında bulunan üçüncü taraf kodlarının muazzam sayısının endişe verici olduğunu söylüyor. Raporda dışarıdan alınan kodlara giderek daha fazla bağlı olmanın, ürünlerde geliştiricinin bilgisi olmadan açık oluşması riskini büyük ölçüde artırdığı öne sürülüyor.
Bluebox incelediği uygulamaları ismen belirtmek yerine bu uygulamaların App Annie’s listesinin mobil seyahat kategorisinde en üstte yer alan iOS ve Android uygulamaları olduğunu belirtmekle yetinmiş. Kullanıcılar cihazlarına yükledikleri mobil uygulamalardaki risklerin mutlaka farkında olmalı ve tehdide açık kişisel bilgilerini kesinlikle vermemeli.