Kaspersky Lab araştırmacıları Rusya, ABD ve Avrupa’da dahil olmak üzere tüm dünyadan 13 adet araç paylaşım uygulamasının güvenliğini inceledi. Uzmanlar uygulamaların tümünde, suçluların paylaşılan arabaların kontrolünü gizlice veya başka bir kullanıcının görünümünde ele almasına imkan tanıyan bir dizi güvenlik sorunu tespit etti.
Uygulama üzerinden erişim sağlayan bir suçlu, aracı veya bilgilerini çalmaktan zarar vermeye ve kötü amaçla kullanıma kadar istediği her şeyi yapabiliyor.
Uygulamalar hayatımızı kolaylaştırmak ve çeşitli işleri daha rahat yapmamızı sağlamak için tasarlanıyor.
Bu kavram, ‘paylaşım’ uygulamalarıyla bir adım ileri taşındı. Bu uygulamalar, yemek siparişinden taksi ve araba paylaşımına kadar birçok alanda hizmeti daha uygun maliyetli bir şekilde almamızı sağlıyor. Araç paylaşım uygulamaları düşük gelirli kişilere, araba sahibi olma ve bakım maliyetlerini karşılama imkanı sunsa da beraberinde hem üreticiler hem de kullanıcılar için yeni güvenlik riskleri getiriyor.
Sorunun boyutunu belirlemek isteyen Kaspersky Lab araştırmacıları, farklı pazarlarda önde gelen üreticiler tarafından geliştirilen ve Google Play istatistiklerine göre 1 milyondan fazla kez indirilen 13 araç paylaşım uygulamasını test etti. Araştırmada incelenen uygulamaların her birinde çok sayıda güvenlik sorunu tespit edildi.
Araştırmacılar ayrıca, kötü niyetli kullanıcıların çalıntı hesaplarla araç paylaşım uygulamaları üzerinden uzun süredir gelir elde ettiğini de buldu.
Tespit edilen güvenlik açıkları arasında şunlar yer alıyor:
Ortadaki adam saldırılarına karşı hiçbir güvenlik önlemi yok. Böylece, bir kullanıcı yasal siteye girdiğini düşünse de aslında trafik saldırganın sitesine yönlendiriliyor. Saldırganlar bu şekilde kurbanın girdiği kişisel verileri (giriş, parola, PIN, vs.) toplayabiliyor.
Uygulamanın tersine mühendisliğe karşı hiçbir savunması yok. Sonuç olarak, suçlular uygulamanın nasıl çalıştığını anlayıp sunucu altyapısına erişim imkanı sunacak açıklar bulabiliyor.
Root tespit yöntemleri kullanılmıyor. Root yetkilerine sahip kötü niyetli kullanıcılar neredeyse sınırsız olanağa sahip oluyor, bu da uygulamayı savunmasız bırakıyor.
Uygulama örtme yöntemlerine karşı koruma bulunmuyor. Bu sayede, kullanıcıların karşısına zararlı uygulamaların kimlik avı pencereleri çıkabiliyor ve kişisel bilgiler çalınabiliyor.
Uygulamaların yalnızca yarısından azı kullanıcılardan güçlü parola talep ediyor. Bu da suçluların kurbanlara basit kaba kuvvet yöntemiyle saldırabilmesine olanak tanıyor.
Açıklardan başarılı şekilde yararlanan bir saldırgan, arabaları ücretsiz kullanmak ve kullanıcıları gizlice izlemekten arabaları ve bilgilerini çalmaya kadar birçok kötü amaç için kontrolü fark edilmeden eline alabiliyor.
