Mobil cihazlar için yayınlanan kripto para uygulamalarının büyük bir kısmının güvenliğe önem vermediği ortaya çıktı.
En azından San Francisco’lu güvenlik firması High-Tech Bridge böyle iddia ediyor. 2000’den fazla uygulamanın analizden geçtiği testte, 100,000 kullanıcının üzerinde bir indirme sayısına sahip olan ilk 30 uygulamanın %93’ünün “orta seviye,” %90’ının ise “yüksek seviye” risk içinde olduğu belirlenmiş.
En fazla indirilen uygulamalar listesinde tepedeki uygulamalar göreceli olarak daha güvenli sayılsa da riskler hala mevcut. 500,000 indirme sayısından fazla bir değere sahip uygulamaların %94’ü en az 3 orta seviye, %77’si ise en az 2 yüksek seviye açık barındırıyor.
Yayınlanan analize göre en çok görülen yazılım açığı “depolanan verinin güvenli olmaması,” bu da telefonda saklanan bilgilerin dışarı sızdırılabileceği anlamına geliyor. Bunu takip eden risk ise “yetersiz kriptografi,” yani saklanan bilgiler şifreli, ancak hala dışarıdan erişim imkanı var. Kısaca kullanıcıların büyük bir çoğunluğu risk altında. Şirketin kurucusu ve CEO’su Ilia Kolochenko’ya göre çok büyük sorunlar ortaya çıkabilir.
“Uygulamaların fonksiyonuna ve tasarımına bağlı olarak birçok risk ortaya çıkabilir. Bu risklerin arasında hassas bilgilerin ve hatta özel cüzdan kodunun çalınması bile var.”
“Ne yazık ki araştırmanın sonucundan çıkan kötü tablo beni şaşırtmadı.”
Çoğu Mobil Uygulama Güvenliğe Dikkat Etmiyor
Kolochenko uygulamalardaki güvenlik sorunlarının mobil yazılım piyasasında çoğu zaman atlanan bir konu olduğunu da belirtti.
“Uzun yıllardır siber güvenlik şirketleri ve bağımsız uzmanlar mobil uygulama geliştiricilerini artan risklere karşı uyarıyorlardı. Geliştiricilerin hızlı olabilmek adına özenli davranmaması, uygulamaların güvenliğini sağlayan yazılımların ve şifrelenmiş kodların entegre edilmemesi anlamına geliyor.”
Uygulamaların güvenilirliğini test etmek isteyen kullanıcılar ve geliştiriciler, şirketin Mobile X-Ray adlı ücretsiz güvenlik analiz yazılımını kullanabilir. Yapılması gereken tek şey uygulamanın ‘.apk’ dosyasının sisteme yüklenmesi, ardından da önemli yazılım açıkları bir liste halinde belirtiliyor.
Tabii olay paraların güvenli bir şekilde saklanmasına gelince iş çok daha kötüye gitmekte. Şirketin yayınladığı belgede analizin olması gerektiği kadar derine inmediği söylenmiş. Analizin yapılış yöntemi doğrultusunda, uygulamaların sadece tasarımındaki açıklar keşfedilmiş. Uygulamanın derinlerinde yatan back-end programlama incelenmemiş bile. Şirket bu yüzden belgede gözlemlenen açıkların “sadece buzdağının görülen kısmı” olduğunu da belirtmiş.