Dünyanın en büyük Bitcoin borsası Binance, borsanın mobil uygulamasında bir güvenlik açığı keşfetti. Android kullanıcıları bu açık yüzünden kendi erişimleri olmadan Bitcoin kaybediyorlardı. Binance cephesinden konuya müdahale ise gecikmedi.
1992’den beri dijital güvenlik çözümleri üretmekte olan ESET’te kötücül yazılım araştırmacısı ve analist olarak görev yapan Lukas Stefanko, Twitter hesabındaki gönderisinde Binance açığının ön izlemesini bugün takipçileriyle paylaştı. Tweetinin devamında çözüm yöntemini de detaylandıran Stefanko, takipçilerine güvenlikle alakalı tavsiyeler de verdi.
Demo of Binance wallet theft using Accessibility services
Android PoC malware misuses accessibility to take control over device to withdraw Bitcoins without any user interaction.
Binance swiftly fixed the issue.
Research & video by @yonas_leguesse
Paper: https://t.co/AcbtZjKaV2 pic.twitter.com/88PvCyMyXZ— Lukas Stefanko (@LukasStefanko) October 14, 2020
Okuyucularına Google Play mağazası dışında başka herhangi bir yerden uygulama indirmemeleri tavsiyesinde bulunan Stefanko, ayrıca indirilen uygulamalara verilen izinlerin de kontrol edilmesi gerektiğini söylüyor. Androidli cihazlarda güncel bir antivirüs programının olması gerekliliği ise araştırmacının verdiği bir başka tavsiye.
Kullanıcılar ve geliştiriciler birlikte hareket etmeli
Binance açığının gösterildiği tweete gelen yorumlarda kullanıcıların tedirginliğini sezmek mümkünken bu tür sorunların çözümüne kullanıcılar ve uygulama geliştiricilerinin birlikte odaklanmaları gerekiyor. Konuyla alakalı yorumda bulunan bir Twitter kullanıcısı ise şunları söylüyor:
Erişime bir kez izin verdiğiniz takdirde zaten her şeyi yapabilirsiniz, bu durumun neden sadece Binance ile ilgisi var? İleriki aşamalarda doğrulama istense bile kötücül yazılım sayesinde onu bile atlatamaz mısınız?
Soruyu @yonas_leguesse isimli bir başka kullanıcı yanıtlarken kullanıcının aslında Stefanko’nun tweetindeki ön izleme videosunu hazırlayan kişi olduğu anlaşılıyor. @yonas_leguesse’e göre ise durum, tamamen dikkat çekmek amaçlı:
Bu tarz güvenlik sorunlarına karşı kullanıcıların güvenilir olmayan yazılımları kullanmaktan kaçınması, uygulama geliştiricilerin de bu tarz açıklara karşı daha dayanıklı bir koruma sistemi kurmaları gerekiyor.
Durumun çözümüne dair hızlı bir aksiyon alan Binance ise henüz konuyla alakalı bir açıklamada bulunmuş değil.