{"id":4596,"date":"2015-09-21T11:01:06","date_gmt":"2015-09-21T11:01:06","guid":{"rendered":"https:\/\/ihs.com.tr\/blog\/?p=4596"},"modified":"2015-09-21T11:01:06","modified_gmt":"2015-09-21T11:01:06","slug":"mobil-seyahat-uygulamalarindaki-guvenlik-aciklari","status":"publish","type":"post","link":"https:\/\/www.ihs.com.tr\/blog\/mobil-seyahat-uygulamalarindaki-guvenlik-aciklari\/","title":{"rendered":"Mobil Seyahat Uygulamalar\u0131ndaki G\u00fcvenlik A\u00e7\u0131klar\u0131"},"content":{"rendered":"

\u00c7ok say\u0131da t\u00fcketicinin u\u00e7ak bileti rezervasyonu yapmak, otellerden yer ay\u0131rtmak gibi seyahat i\u015flemleri i\u00e7in kulland\u0131\u011f\u0131 pop\u00fcler mobil seyahat uygulamalar\u0131n\u0131n<\/strong> bir\u00e7o\u011funun t\u00fcketici verisini tehlikeye atan g\u00fcvenlik a\u00e7\u0131klar\u0131yla dolu oldu\u011fu \u00f6ne s\u00fcr\u00fcld\u00fc.<\/span><\/p>\n

Seyahat Uygulamalar\u0131 G\u00fcvenlik Bak\u0131m\u0131ndan Adeta Bir May\u0131n Tarlas\u0131 Gibi <\/strong><\/span><\/p>\n

Mobil uygulama g\u00fcvenli\u011fi \u015firketi Bluebox Security<\/strong> \u201c2015 Seyahat Uygulamas\u0131 G\u00fcvenlik \u0130ncelemesi<\/a>\u201d raporunda iOS ve Android cihazlar\u0131nda en \u00e7ok kullan\u0131lan 10 mobil seyahat uygulamas\u0131n\u0131 de\u011ferlendirdi. Rapora g\u00f6re bu uygulamalar\u0131n neredeyse hi\u00e7birinde kredi kart\u0131 bilgilerini, seyahat ge\u00e7mi\u015fini ve di\u011fer hassas veriyi koruyabilecek g\u00fcvenlik mekanizmalar\u0131 bulunmamakta. Bluebox bir dizi g\u00fcvenlik ilkesi do\u011frultusunda bu uygulamalar\u0131n gerekli nitelikte olup olmad\u0131klar\u0131n\u0131 test etti.<\/span><\/p>\n

Ortaya \u00e7\u0131kan sonu\u00e7 olduk\u00e7a \u015fa\u015f\u0131rt\u0131c\u0131yd\u0131. \u00d6rne\u011fin, on Android uygulamas\u0131n\u0131n yaln\u0131zca biri \u015fifreli veriyi uygulaman\u0131n aktif olmad\u0131\u011f\u0131 anda incelerken, iOS seyahat uygulamalar\u0131n\u0131n hi\u00e7birinde bu \u00f6zellik bulunmamakta. Dolay\u0131s\u0131yla, bu uygulamalar taraf\u0131ndan toplanan kullan\u0131c\u0131 ad\u0131, parola, kredi kart\u0131 numaras\u0131 gibi hassas bilgiler uygulama i\u00e7erisinde d\u00fcz metin olarak depolan\u0131yor. Verinin ge\u00e7i\u015f esnas\u0131nda \u015fifrelenmesine y\u00f6nelik \u00f6nlemler on iOS uygulamas\u0131n\u0131n yaln\u0131zca birinde, Android uygulamalar\u0131n\u0131n ise yaln\u0131zca ikisinde var.<\/span><\/p>\n

Bu programlar\u0131n hi\u00e7birinde tehdit unsurlar\u0131n\u0131n uygulamalara y\u00f6nelik tersine m\u00fchendislik i\u015flemleri yapmas\u0131n\u0131, zararl\u0131 kodlar girmesini ve bu kodlar\u0131 yeniden dola\u015f\u0131ma sokmas\u0131n\u0131 \u00f6nleyecek onays\u0131z de\u011fi\u015fiklik engelleyici mekanizmalar olmad\u0131\u011f\u0131 g\u00f6r\u00fcld\u00fc. Bluebox siber su\u00e7lular\u0131n uygulama kodunun nas\u0131l \u00e7al\u0131\u015ft\u0131\u011f\u0131yla ilgili bilgileri ilk bak\u0131\u015fta toplamas\u0131n\u0131 \u00f6nleyecek en temel gizleme tekniklerini bile yaln\u0131zca iki uygulaman\u0131n kulland\u0131\u011f\u0131n\u0131 s\u00f6yl\u00fcyor. Bluebox\u2019a g\u00f6re Android ve iOS mobil seyahat uygulamalar\u0131n\u0131n biri bile \u00fcretici taraf\u0131ndan konulmu\u015f yaz\u0131l\u0131m k\u0131s\u0131tlamalar\u0131n\u0131n kald\u0131r\u0131ld\u0131\u011f\u0131 cihazlar\u0131 tespit edecek \u00f6zelliklere sahip de\u011fil.<\/span><\/p>\n

Kayg\u0131 Verici Bir Gidi\u015fat<\/strong><\/span><\/p>\n

Bluebox incelemesi ba\u015fka a\u00e7\u0131klar\u0131 da ortaya \u00e7\u0131karmakta. Android uygulamalar\u0131n\u0131n yakla\u015f\u0131k y\u00fczde 40\u2019\u0131nda, iOS programlar\u0131n\u0131n ise yakla\u015f\u0131k y\u00fczde 60\u2019\u0131nda kullan\u0131c\u0131lara hata giderme de d\u00e2hil olmak \u00fczere uygulamalar\u0131n tam y\u00f6netim yetkisini<\/a><\/strong> verdi\u011fi \u00f6zellikler oldu\u011fu g\u00f6r\u00fcl\u00fcyor. Bu uygulamalardaki admin\/debug kodlar\u0131 asl\u0131nda son kullan\u0131c\u0131lar i\u00e7in de\u011fil, geli\u015ftiriciler ve test ediciler i\u00e7in eklenen \u00f6zellikler.<\/span><\/p>\n

\"mobil<\/a><\/span><\/p>\n

Raporda bu seyahat uygulamalar\u0131n\u0131 geli\u015ftiren ki\u015filerin uygulama g\u00fcvenli\u011finden ziyade \u00fcr\u00fcnlerine yeni \u00f6zellikler ve i\u015flevler eklemeye odakland\u0131\u011f\u0131 \u00f6ne s\u00fcr\u00fclmekte. Bluebox inceleme sonu\u00e7lar\u0131n\u0131 bildirdi\u011fi raporunda \u201cbir\u00e7ok durumda bu uygulamalarda h\u0131zl\u0131 geli\u015fim kaydetmek i\u00e7in g\u00fcvenli\u011fin tamamen ihmal edildi\u011fini\u201d ifade ediyor.<\/span><\/p>\n

Mobil seyahat uygulamalar\u0131n\u0131n ne kadar \u00e7ok kullan\u0131ld\u0131\u011f\u0131 d\u00fc\u015f\u00fcn\u00fcl\u00fcrse, bu durumun kayg\u0131 verici oldu\u011fu s\u00f6ylenebilir. Criteo<\/strong>\u2019nun ge\u00e7en y\u0131l yay\u0131nlad\u0131\u011f\u0131 bir raporda mobil cihazlarla yap\u0131lan seyahat rezervasyonlar\u0131n\u0131n say\u0131s\u0131n\u0131n h\u0131zla artt\u0131\u011f\u0131 g\u00f6r\u00fclm\u00fc\u015ft\u00fc. T\u00fcm otel rezervasyonlar\u0131n\u0131n y\u00fczde 21\u2019i ak\u0131ll\u0131 telefonlarla ve tabletlerle yap\u0131l\u0131yor. Bunun yan\u0131 s\u0131ra, mobil cihazlarla yap\u0131lan u\u00e7u\u015f rezervasyonlar\u0131n\u0131n ortalama de\u011ferinin, masa\u00fcst\u00fc bilgisayarlarla yap\u0131lan rezervasyonlar\u0131n de\u011ferinden y\u00fczde 21 daha fazla oldu\u011fu, ayn\u0131 de\u011ferin araba kiralama i\u015flemleri i\u00e7inse y\u00fczde 13 daha fazla oldu\u011fu ifade ediliyor.<\/span><\/p>\n

\u00dc\u00e7\u00fcnc\u00fc Taraf Kod Kullan\u0131m\u0131<\/strong><\/span><\/p>\n

Di\u011fer bir ciddi sorunun ise mobil seyahat uygulamalar\u0131ndaki kodlar\u0131n yo\u011fun bir \u015fekilde yeniden kullan\u0131lmas\u0131<\/strong> oldu\u011fu g\u00f6r\u00fcl\u00fcyor. Bluebox\u2019\u0131n inceledi\u011fi uygulamalardaki kodlar\u0131n yaln\u0131zca y\u00fczde 30\u2019u marka taraf\u0131ndan geli\u015ftirilmi\u015f. Kodlar\u0131n geri kalan\u0131ysa \u00fc\u00e7\u00fcnc\u00fc taraf yaz\u0131l\u0131m bile\u015fenlerinden ve \u00e7e\u015fitli kaynaklardan derlenen kitapl\u0131klardan olu\u015fuyor.<\/span><\/p>\n

Mobil uygulama olu\u015fturmak i\u00e7in s\u0131k s\u0131k d\u0131\u015f kaynaklardan al\u0131nan kodlar kullan\u0131lmakta. Bir\u00e7ok geli\u015ftirici \u00fcr\u00fcnlerinde veri depolama ve a\u011f olu\u015fturma gibi temel i\u015flevleri entegre etmek i\u00e7in bu tarz kodlar\u0131 kullan\u0131r. Uygulama geli\u015ftiricileri bu sayede bir yandan kendi uzmanl\u0131k alanlar\u0131na yo\u011funla\u015f\u0131rken bir yandan da \u00fcr\u00fcnlerini piyasaya daha h\u0131zl\u0131 s\u00fcrebiliyor.<\/span><\/p>\n

Gelgelelim, Bluebox incelenen seyahat uygulamalar\u0131nda bulunan \u00fc\u00e7\u00fcnc\u00fc taraf kodlar\u0131n\u0131n muazzam say\u0131s\u0131n\u0131n endi\u015fe verici oldu\u011funu s\u00f6yl\u00fcyor. Raporda d\u0131\u015far\u0131dan al\u0131nan kodlara giderek daha fazla ba\u011fl\u0131 olman\u0131n, \u00fcr\u00fcnlerde geli\u015ftiricinin bilgisi olmadan a\u00e7\u0131k olu\u015fmas\u0131 riskini b\u00fcy\u00fck \u00f6l\u00e7\u00fcde art\u0131rd\u0131\u011f\u0131 \u00f6ne s\u00fcr\u00fcl\u00fcyor.<\/span><\/p>\n

Bluebox inceledi\u011fi uygulamalar\u0131 ismen belirtmek yerine bu uygulamalar\u0131n App Annie\u2019s<\/strong> listesinin mobil seyahat kategorisinde en \u00fcstte yer alan iOS ve Android uygulamalar\u0131 oldu\u011funu belirtmekle yetinmi\u015f. Kullan\u0131c\u0131lar cihazlar\u0131na y\u00fckledikleri mobil uygulamalardaki risklerin mutlaka fark\u0131nda olmal\u0131 ve tehdide a\u00e7\u0131k ki\u015fisel bilgilerini kesinlikle vermemeli<\/strong>.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

\u00c7ok say\u0131da t\u00fcketicinin u\u00e7ak bileti rezervasyonu yapmak, otellerden yer ay\u0131rtmak gibi seyahat i\u015flemleri i\u00e7in kulland\u0131\u011f\u0131 pop\u00fcler mobil seyahat uygulamalar\u0131n\u0131n bir\u00e7o\u011funun t\u00fcketici verisini…<\/p>\n","protected":false},"author":3,"featured_media":4611,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-4596","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-haberler"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/4596","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/comments?post=4596"}],"version-history":[{"count":6,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/4596\/revisions"}],"predecessor-version":[{"id":4613,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/4596\/revisions\/4613"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/media\/4611"}],"wp:attachment":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/media?parent=4596"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/categories?post=4596"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/tags?post=4596"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}