Yarım düzine popüler mobil uygulamadaki ciddi bir güvenlik açığı, potansiyel olarak milyonlarca kullanıcının kişisel ve hassas verilerini çevrimiçi olarak sızdırdı.
Araştırmacı Mikail Tunç, Aralık 2021’in sonlarında hem Android hem de iOS’taki birden fazla mobil uygulamanın kimlik doğrulama hizmetlerini yanlış yapılandırdığını keşfetti. Daha doğrusu – servis sağlayıcı Onfido tarafından önerildiği gibi en iyi uygulamaları takip etmediler.
Arka uçta bir API belirteci tutmak yerine, onu ön uçta açıkta tuttular ve potansiyel olarak biyometrik veri sızdırdılar. Birisi kusuru Tunç’tan önce bulmuş olsaydı, kimlik kartları, pasaportlar veya ehliyetler, e-postalar, tam adlar veya fiziksel adresler gibi kişisel olarak tanımlanabilir verileri elde edebilir ve kullanıcıları potansiyel kimlik hırsızlığı riskine maruz bırakabilirdi. Ayrıca, bir saldırgan, birçok kimlik doğrulama hizmetinin gerektirdiği bir şey olan selfie videoları elde etmiş olabilir.
Milyonlarca potansiyel kurban
İddiaya göre kusuru Tunç’tan önce kimse bulamamıştı, bu da verilerin şimdilik güvende olduğu anlamına geliyor – ancak durumun gerçekten böyle olup olmadığı hala görülüyor.
Bu belirteçlerin genellikle ek bir beklenmedik durum önlemi olarak bir son kullanma tarihi vardır. Bununla birlikte, bu belirli belirteçlerin bir son kullanma tarihi olmaması, tehdidi çok daha büyük hale getirdi.
Buna göre SiberHaberlerİlk olarak haberi duyuran, etkilenen uygulamalar arasında beş milyondan fazla kullanıcıya sahip bir ticaret platformu olan FxPro Direct App, bir milyondan fazla kullanıcıya sahip bir araba kiralama aracı olan Europcar, Chip, neredeyse yarım kullanıcıya sahip tasarruf uygulaması yer alıyor. milyon kullanıcı, alışveriş uygulaması Hoolah, kripto para uygulaması Modu ve bir araba paylaşım hizmeti Greenwheels.
SiberHaberler Onfido’ya, müşterilerinin API belirtecini ön uçta bırakmama tavsiyesine uyup uymadığını izleyip izlemediğini sordu ve şirket, müşterilere Onfido IDV iş akışını güvenli bir şekilde nasıl uygulayacakları konusunda ayrıntılı teknik rehberlik sağladığını söyledi.
Onfido, “Benzer alanlardaki diğer şirketlerde olduğu gibi, bu kadar çeşitli iş akışlarında özel bir anahtarın uygunsuz bir şekilde kullanılıp kullanılmadığını söylemek teknik olarak çok zor, bu da uygulanmasını zorlaştırıyor.” verilere yetkisiz erişim kanıtı.
Tüm bu rakamlar Google Play Store’dan alınmıştır. Apple’ın App Store’u indirme numaralarını bile açıklamıyor, ancak bu rakamların en azından iki katı olabileceğini söylemek güvenli.
Yukarıda listelenen uygulamalardan birini kullananlar ve kötü niyetli kişiler tarafından hedef alınabileceklerinden korkanlar, şüpheli mesajlara ve yabancılardan gelen bağlantı taleplerine karşı ekstra dikkatli olmalı, şifrelerini güçlendirmeli ve mümkün olduğunda iki faktörlü kimlik doğrulama eklemelidir.
Ayrıca cihazlarını güncel tuttuklarından, bir siber güvenlik çözümü ve mümkünse bir güvenlik duvarı çalıştırdıklarından emin olmalıdırlar.
- Ayrıca listemize de göz atmak isteyebilirsiniz. en iyi VPN’ler şu anda