Şu an okuyorsunuz: Uygulama izinleri nasıl yönetilir?
“Merhaba @Aeromexico, neden cep telefonu kameramı kullanmaya çalışıyorsun?” Bu tweet ile İngiliz gazeteci Duncan Tucker, birkaç hafta önce havayoluna, buna karşılık gelen izin devre dışı bırakıldığında neden telefonun kamerasına erişmeye çalıştığını sordu. Piyasadaki neredeyse tüm uygulamalar kullanıcı verilerini toplar ve belirli izinlere erişebilir. Ancak birçok durumda, kullanıcı uygulamaları kullandığında ve yasal olarak kullanıyorsa kaçar. Bir uygulamanın bir cep telefonunun kamerasına, fotoğraflarına veya mikrofonuna ne zaman eriştiğini bilmek mümkün müdür? Uygulama izinlerini yönetmek için bazı ipuçları.
Bilgisayar Mühendisliği Yüksekokulları Konseyi Bilgisayar Güvenliği ve Savunma Grubu üyesi Javier Tallon, Tucker’ın Meksika havayoluyla kameraya erişiminin bazı durumlarda yasal olabileceği konusuna değinmektedir. Örneğin, banknot kodlarını okumak için kullanılması durumunda. Ancak, gazetecinin tweet’ine bakarak, uygulama bu izne, uygulanmadığı bir zamanda erişmeye çalıştı.
Tucker, Meksika havayolu şirketinin niyetlerini öğrendi çünkü akıllı telefonunda “uygulama izin monitörünü” etkinleştirdi. Her uygulama için isteğe bağlı izinler vermenizi ve ne zaman kullanıldığını bilmenizi sağlayan bazı Samsung terminalleri için kullanılabilen bir işlevdir. Özelliği telefon ayarlarında etkinleştirdiğinizde, “Arka planda çalışan uygulamalar seçtiğiniz izinleri kullandığında bildirim al” bildirilir. Buna ek olarak, tüm bu etkinlikler kullanıcının istediği zaman gözden geçirebileceği bir geçmişe kaydedilir.
JT sec Beyond IT Security’nin kurucu ortağı ve teknik ve operasyon direktörü Tallón’a göre, izin monitörü, bu durumda, yürütme niyetini ve çok fazla değil uyarıyor: “Uygulamanın ele alındığında İzin monitörü, kamerayı kullanarak şüpheli davranışları algılar ve uyarıyı verir. Ancak, izin devre dışı bırakıldığı için uygulama hiçbir zaman cihazın kamerasına erişemedi. “
Her uygulama hangi bilgilere izin verir?
Tipik olarak, bir kullanıcı, bir uygulamanın yükleme sırasında çalışması için gereken izinlerin listesini bilebilir. Tallon’a göre uygulamalar genellikle kullanıcıdan ortalama üç ila dört izin ister. En çok istenen izinlerin kullanıcı dosyalarına, cihazın kamerasına ve konum servislerine erişim olduğunu söylüyor. En çok izin isteyen uygulamalar sosyal medya ve çevrimiçi alışveriş ile ilgili uygulamalardır.
CCII Savunma Güvenlik Grubu üyesi CCC ve Morales, Wellness TechGroup’ta siber güvenlik teknik yöneticisi . Daha sonra, uygulamalar daha önce kabul edilen izinleri her kullandıklarında kullanıcının onayına ihtiyaç duymayacaktır: “Bu andan itibaren kullanıcı artık uygulamaların izinleri ne zaman kullandığını bilmiyor”.
Aslında, Tucker mobil özelliği sadece bazı Samsung telefonlarda mevcuttur ve diğer terminallerde yaygın değildir. Tallon, “Yaygın bir kullanıcının bir uygulamanın veya cihazın hangi bilgilere erişebileceğini, izin kontrolünün ötesinde bilmesi zordur” diyor. Kendilerini korumak için, danışılan uzmanlar yalnızca gerçekten gerekli olan uygulamaları yüklemenizi ve talep edilmeden izinlerin kötüye kullanılabileceğini kontrol etmeden önce kontrol etmenizi önerir. Morales, aynı işlevselliği sunan bir uygulamayı kurarken birkaç alternatif olması durumunda, talep için kötüye kullandığını düşündüğümüz minimum izinlerin yüklenmesinin tercih edildiğini bildirir.
Araçlar
ICSI araştırmacısı Serge Egelman, bir uygulama tarafından istenen izinleri görüntüleyen birçok web sitesi ve araç olduğunu açıklıyor, ancak bu izinlerin gerçekte pratikte kullanılıp kullanılmadığını veya tam olarak kullanıldıkları süreyi bildirmiyor: “Bir iznin aslında kullanıldığını bilmekle aynı şey değildir. “
Bir uygulamanın hangi izinleri kullandığını ve ne zaman kullandığını algılamak için işletim sisteminin değiştirilmesi gerekir. Bir grup araştırmacı ile bunu yaptı ve farklı Android uygulamalarının davranışlarını doğrulamaktan sorumlu bir şirket olan AppCensus’u yarattı. “Birkaç yıldır, uygulamanın kişisel verilere erişimini izlemek için enstrümantasyon içeren kendi özelleştirilmiş Android sürümümüzü oluşturuyoruz. Bu, işletim sisteminde değişiklikler yapılmasını gerektirdiğinden, Play Store’dan yüklenen bir uygulamada yapılamaz ”diyor.
AppCensus, web sitesinde pazardaki farklı uygulamaların davranışları hakkında bilgi sağlar, böylece kullanıcı hangi verilere eriştiğini ve üçüncü taraflarla paylaşılıp paylaşılmadığını öğrenebilir. Egelman’a göre, tüketicilerin kullandıkları uygulamaların gizlilik sonuçlarını anlamalarının birkaç yolundan biridir. Daha önce bilmenin sadece iki yolu olduğunu vurgulamaktadır: gizlilik politikalarını okumak ve ağ trafiğini incelemek. “Hepimiz gizlilik politikalarıyla ilgili sorunları biliyoruz. Belirsiz, zaman alıcı ve okunması zor. İkincisi, ortalama bir kullanıcının ağ trafiğini izlemesini ve analiz etmesini beklemek saçmadır ve kötü davranışı tespit ettiğinde sona ereceği anlamına gelir “diye ekliyor.
Calgary Üniversitesi’nde doçent ve AppCensus mimarlarından bir diğeri olan Joel Reardon, kullanıcıyı bir uygulamanın izinlerini kullanacağını sürekli bilgilendiren bir aracın kullanılabilirliğini sorguluyor. Onun için, örneğin, terminal ekranı veya ses kapatıldığında kullanıcının konuma, mikrofona veya kameraya erişimi reddedebilmesi yararlı olacaktır.
Hem Egelman hem de Reardon, bazı uygulamalar, kullanıcı izni açıkça reddetmiş olsa bile belirli bilgilere erişmenin yollarını aradıklarını vurgulamaktadır. Her ikisi de, siber güvenlik uzmanlarından oluşan bir ekip tarafından yürütülen ve 12.923’e kadar başvurunun, izinlerini açıkça reddetmesine rağmen özel bilgi toplamaya devam etmenin bir yolunu bulduğunu ortaya koyan bir araştırmaya katıldı. Bu bulgulardan etkilenen potansiyel kullanıcıların sayısı “yüz milyonlarca” demektedir.
KENDİNİZİ KULLANICI OLARAK KORUMA İPUÇLARI
Uygulama geliştiricileri ve hatta terminal üreticileri bile izin almadan kullanıcı bilgilerini toplar. Bu durum, kalite açısından önemli bir fark olduğunu belirten Tallón tarafından belirtiliyor. smartphones “Her ne kadar trend en iyi bilinen üreticilerin en güvenilir olduğunu düşünmek olsa da, büyük ölçekli kullanıcı bilgi trafiğinin çok kazançlı bir iş olduğu ve büyük olasılıkla en büyük dünyadaki şirketler smartphones katılırlar. “
Bu nedenle, fikrinin güvenliği sektördeki üreticilerden bağımsız profesyoneller tarafından doğrulanan ve onaylanan cihazları kullanmaya çalışmak olduğuna dikkat çekiyor.
Morales kendi adına “bir akıllı telefonun en zayıf noktalarından birinin suçlama olduğunu” uyarıyor. Açıkladığı gibi, örneğin cep telefonu bir bilgisayara bağlandığında cep telefonunu şarj etmek için veri alışverişine izin vermeyen kablolar vardır. “Bu durumda, ana önlemlerden biri, cep telefonlarını sadece halka açık yerlerde şarj etmek için olmayan bir kablo ile şarj etmekten kaçınmaktır.”
