Kod Yazmadan Mobil Uygulama Nasıl Yapılır?
Güvenlik araştırmacıları, keşfettiler iPhone'lar ve iPad'lerdeki saldırganların, yasal olanların yerini alacak sahte uygulamalar yüklemelerine olanak veren bir güvenlik açığı.
California merkezli bir mobil güvenlik şirketi olan FireEye, "Maske Attack" adını verdiği soruna, saldırganların potansiyel olarak izin verdiğini söyledi Çok sayıda kişisel bilgiye erişim sağlayın
Saldırının bir video gösterisinde, bir iPhone'a "Flappy Bird" oyununun yeni bir versiyonunu yüklemek için bir URL gönderildi. Bağlantı tıklandığında, telefon kullanıcıdan oyunun kurulumunu onaylamasını istedi, ancak bu onayın üzerine aslında indirilen ve yüklenmiş olan şey, Gmail uygulamasının güvenliği ihlal edilmiş bir sürümüdür.
[Ekstra okuma: Kötü amaçlı yazılım nasıl kaldırılır? Windows PC]Gerçek olanın üstüne kurulan yeni Gmail uygulaması, gerçek kullanıcıyı taklit ederek, kullanıcının bu değişikliği algılamasını zorlaştırdı. Ancak arka planda, tüm posta kutusunu saldırgan tarafından çalıştırılan bir sunucuya yükledi. Saldırının ikinci bir parçası da videoda gösterilen bir saldırganın telefona gönderilen tüm SMS metin mesajlarına erişmesine izin verdi.
Hem e-postalara hem de SMS mesajlarına erişim yeterince korkutucudur, ancak her ikisi de kullanıldıkça özellikle sorunludur. Uygulamalara ve bazen de banka hesaplarına erişim için şifre sıfırlama bağlantıları ve güvenlik PIN kodları.
Güvenlik açığı iOS sürüm 7.1.1, 7.1.2, 8.0 ve 8.1.1 beta sürümlerinde bulunmaktadır ve iOS'un kontrol etmemesi nedeniyle mümkündür Her uygulamanın kendine özgü olması beklenen uygulama paket tanımlayıcısının kimlik kimliğinin geçerliliği. Sahte bir uygulama, yasal bir uygulama olarak aynı paket tanımlayıcısını kullanıyorsa, iOS, farklı bir kaynaktan olsa bile, FireEye'den söz etse bile sorgulamaz.
Saldırıya dayanıklı tek uygulamalar, önceden yüklenmiş olanlardır.
FireEye, Apple'ı sorun hakkında 26 Temmuz'da bilgilendirdiğini söyledi.
Kullanıcılar, Apple'ın uygulama mağazasından veya güvenilir bir kurumsal mağazadan uygulamalar yükleyerek bu tür saldırılara karşı kendilerini koruyabilirler. Kullanıcılara, üçüncü taraf web sitelerinin pop-up'larına "yükleme" tıklaması, ne tür güvenceler verilirse verilsin ve telefonun geliştiriciye güvenilmediğini söyleyen bir pop-up göstermesi durumunda "güvenmiyorum" u tıklaması önerilir.
Herhangi bir uygulamanın daha önceden yüklenmiş olup olmadığını görmek için, iOS 7 kullanıcıları, şüpheli girişler için “Ayarlar> Genel> Profiller” başlığı altında temel hazırlık profillerini kontrol edebilirler, dedi FireEye. En son iOS 8'i çalıştıran telefonlar, temel hazırlık profillerini göstermez, dolayısıyla böyle bir kontrol mümkün değildir, dedi.
Güvenlik açığı iPhone'ları sahte uygulama saldırısına açıyor
Saldırganlar, yasal uygulamaların yerine kişisel bilgilere erişen ve bunları çalan sahte kişilerle değiştirilebiliyor
Linux'un 'güvenlik açığı' güvenlik açığı güvenlik stoklarına bir delik açabilir
Linux'un erişim haklarını nasıl ele geçirebileceği konusunda potansiyel bir hata saldırganların girişi, bir güvenlik firması ücretleri
