PARA FİNANS/ BARIŞ ERGİN Android telefon kullananlar için çoğunlukla başa gelenlerden biri de uygulamalar mevzusundaki güvenlik. Fotoğraf edit etme, emojili klavye, profilime kim baktı şeklinde uygulamalar, her insanın ilgisini çekiyor ve kullanıcı açısından cazip. Özellikleriyle kullanıcıyı kendine çekiyorlar.Android işletim sisteminde vatandaşlar uygulamalar mevzusunda devamlı uyarılıyor sadece devamlı yeni uygulamalar store’dan kaldırılıyor. Bu uygulamalar birçok hususi veriyi çalabiliyor. Son olarak geçtiğimiz hafta bankacılık verilerine erişim sağlayabilen uygulamalar tespit edildi ve bu uygulamalar listelerden kaldırıldı.

Bankacılık verilerine sızabilen uygulamalar, Anatsa isminde bir truva atıyla telefonlara sızıyor. Bu virüsler ABD, İngiltere, Almanya ve Türkiye şeklinde ülkelerde 600 büyük finans uygulamasını hedef alarak müşterilerin banka verilerine erişebiliyor. Edinilen bilgilere nazaran Anatsa isminde virüs; kişilerin kimlik detayları, kredi kartı detayları, bakiye detayları, ödeme bilgilerini çalmaya ve aygıt kontrolünü ele geçirmeye çalışıyor.

BANKACILIK İŞLEMİ YAPILABİLİYOR

Peki, bu bilgiler ile neler yapılabilir? Birazcık zor da olsa adınıza başka bir hesaba para göndermeye çalışabilirler. Bu işlem kullanıcının aletinden yapıldığı için de kanıtlamak mümkün olmuyor. Sadece sizin durumu fark etmeniz gerekiyor. Anatsa isminde virüsü içeren programlar şu isimlerle piyasaya sürülüyor; PDF Reader Edit & View PDF, PDF Reader & Editor, PDF Reader & Editor, All Document Reade & Editor, All Document Reader and Viewer programları Play Store üstünden indirilebiliyordu. Sadece bu uygulamalar tamamen kaldırıldı ve indiren cihazlardan da otomatikman silindi.

SEKİZ UYGULAMA SİLİNMİŞTİ

Google Play Store üstünden indirilen sekiz değişik uygulama da 3 milyon şahıs tarafınca kullanılıyor. Mevzunun uzmanları, telefonlardan bu uygulamaların acilen silinmesi icap ettiğini söylüyor. Araştırmalara nazaran Android işlemci telefonlarda sekiz değişik uygulamada Autolycos isminde bir virüs bulunuyor ve bu uygulamalar paralı hizmetlere üye yapıyor. 2021 senesinde anlaşılan bu virüsün zararlarının tespit edilmesi altı ay kadar sürmüştü ve bu uygulamalar 3 milyondan fazla insan tarafınca indirildi. Bu uygulamalardan korunmanız için telefonunuzdan bu uygulamaları silmeniz gerekiyor. Belirlenen uygulamalar şu şekilde; Razer Keyboard & Theme, Vlog Yıldız Video Editor, Funny Camera, Coco Camera, Creative 3D Launcher, GIF Keyboard, Freeglow Camera ve Wow Camera.

MİKRO KREDİ VERİP BORÇLANDIRIYORLAR

Bazı mobil finans uygulamalarının görünüşte yasal mikro kredi hizmetleri sunmuş olduğu sadece aslına bakarsak dolandırıcılık yaptıkları ve kullananların akıllı telefonlarından kişisel veri topladıkları da tespit edildi. Bu uygulamalar, kredi işlemlerini başlatmadan ilkin kısa mesajlara, kişilere ve fotoğraflara/videolara erişim talep ediyor. Kullanıcının borcunu ödemeyi geciktirmesi durumunda, uygulama operatörleri akıllı telefondan toplanan verileri şantaj yapmak ve kullanıcıyı borcunu ödemeye zorlamak için kullanabiliyor. Kullanıcının adres listesindeki tüm kişilere, galerideki fotoğraflar eşliğinde kullanıcının borcunu bildiren bilgiler gönderilebiliyor.

CİHAZ İÇİ GÜVENLİK TEDBİRLERİ KULLANILMALI

Data Üniversitesi Internasyonal Finans Yüksek Lisans Programı Koordinatörü Prof. Dr. Cenktan Özyıldırım, bazı uygulamaların fonksiyonları gereği kişisel bilgilere erişim, konum bilgisi, kamera ve mikrofona erişim şeklinde izinlere gereksinim duyduğunu belirtti ve ekledi:

“Mesela banka şubesine gitmeden hesap açabilmek için görüntülü görüşme yapmanız gerekebiliyor. Ya da doğrulama mesajlarının manuel girilmeden uygulamada otomatikman açılması için uygulamanın mesajlara erişimine izin vermek gerekiyor. Uygulamaların fonksiyonlarından faydalanabilmek için lüzumlu olan izinleri en azından uygulamayı kullanırken etken hale getirmek, mecburi olmayan izinleri ise mümkün olduğunca kaçınmalıdır. Güncellemelerin tertipli olarak gerçekleştirilmesi ve bir tek parola yerine parmak izi, yüz taraması yada aygıt içi biyometrik doğrulama şeklinde güvenlik katmanları elde eden teknolojilerin kullanılması da daha güvenli hale getirecektir.”

TÜV AUSTRIA SyberCode Genel Müdürü Serhat Yediel, “Son yıllarda mobil cihazların yaygınlaşması ve kullananların mobil işlem yapmayı tercih etmeleri sonucunda kurumlar her türlü klasik uygulamanın yanında hem çalışanlarına hem de müşterilerine hizmet vermek suretiyle mobil uygulamalar devreye almaya başladılar. Bu uygulamalar da web uygulamalarında olduğu şeklinde, geliştirme yaşam döngüsünün olgunluğuna nazaran, değişik seviyelerde zafiyetler barındırabilmektedir. Gerek uygulama kullanıcılarına gerekse uygulamanın kendisine yönelik tehditler sebebiyle hücum alanı oldukça geniştir. Mobil uygulama testlerinde, Web uygulamalarında olduğu şeklinde zafiyet tespitine yönelik otomatik araçların bulunmaması, bilhassa iş mantık hataları, yetkilendirme problemleri şeklinde başlıkların testlerinin deneyim gerektirmesi sebebiyle SyberCode ekibinin bu mevzuda uzmanlaşmış danışmanları denetimleri gerçekleştirmektedir” şeklinde konuştu.

“İZİNLERE GERÇEKTEN İHTİYAÇ OLUP OLMADIĞINA BAKILMALI”

Serhat YEDİEL / TÜV AUSTRIA SyberCode Genel Müdürü

İlk olarak, uygulama sahiplerinin kimliği gözden geçirilmelidir. Güvenilir ve tanınmış geliştiriciler tarafınca üretilen uygulamalar tercih edilmelidir. Uygulamanın istediği izinlere de dikkat edilmelidir. Kullanıcılar, uygulamanın hangi izinlere erişim talep ettiğini incelemeli ve bu izinlerin hakkaten uygulamanın ihtiyacı olduğundan güvenilir olunmalıdır. Uygulamanın türü ve tipine nazaran değerlendirmek daha doğru olacaktır. Mesela, bir kamera uygulamasının kamera ve depolama izinlerine gereksinim duyması normaldir, sadece kişisel mesajlara yada telefon görüşmelerine erişmek şeklinde gereksiz izin talepleri şüpheli olabilir. Başka bir örnekte kolay bir oyun indiriyorsak eğer rehber içeriğine yada arama geçmişine erişim istemesi oldukça şüphelidir. Marketplace içinde olan uygulamaların denetimi, güvenlik taramaları ve düzmece uygulama tespiti şeklinde otomatik yada manuel süreçler, mağazaların güvenliğini (ve güvenilirliğini) oldukça artırır. Ek olarak düzenleyici kurumların ve sektör paydaşlarının şüpheli uygulamaları ve tehditleri mağazaya bildirdiğinde bunlara hızla müdahale etmekte mağazanın itibarını oldukça artıran bir faktördür. Tüm bu çözümün bir tek Marketplace’in kendisiyle sınırı olan olmadığını belirtmek gerekir. Son kullanıcı farkındalığının artırılması, eğitim faaliyetlerinin desteklenmesi ve teknoloji okuryazarlığının artırılması kullanıcıyı bu tür saldırılardan korumak için en etkili yoldur.

“KURUMUN GÜVENİLİRLİĞİNE DİKKAT EDİLMELİ”

Prof. Dr. Cenktan ÖZYILDIRIM / Data Üniversitesi Internasyonal Finans Yüksek Lisans Programı Koordinatörü

Cep telefonları ve mobil uygulamalar günlük yaşamları daha kolay, verimli ve bağlantılı hale getiriyor. Artık bir tek sesli-görüntülü görüşme, mesajlaşma ve toplumsal medya platformları için değil finansal işlemler, alışveriş şeklinde eskiden bilgisayar başlangıcında hatta karşı karşıya yaptığımız pek oldukça işlemi, mobil uygulamalar üstünden daha süratli ve daha kullanıcı dostu arayüzlerle gerçekleştirebiliyoruz. Hatta karşı karşıya ve bilgisayar üstünden yaptığımız işlemlerde dahi bir çok vakit cep telefonuna gelen mesajlarla kimlik doğrulaması yaparak hizmet alabiliyoruz. Dolayısıyla cep telefonları artık neredeyse her şeyi üstünde yaptığımız, şifrelerimizi ve hususi bilgilerimizi sakladığımız ve yaptığımız işlemlerde oluşan dijital ayak izlerini de taşıyan dikkatli korunması ihtiyaç duyulan araçlar haline geldi. Tüketicilerin bir çok aslına bakarsak buradaki risklerin bilincinde değil. Mesela bu kadar mühim bilgilerin saklandığı cep telefonları, kimi zaman asla denetim olmadan istedikleri dijital oyunları yükleyebilmeleri için çocuklarla da paylaşılabiliyor. Bu aşamada sorgulamadan meydana getirilen uygulama yüklemelerinin ve bu uygulamalara verilen kontrolsüz izinlerin aslına bakarsak telefonların içindeki korunması ihtiyaç duyulan bilgilere ulaşılmasına olanak sağladığının bilincinde olmak gerekir. Bu yüzden uygulamayı geliştiren kurumun güvenilirliğine, sadece daha da önemlisi uygulamada talep edilen izinlere oldukça dikkat edilmesi gerekir.