Bu bulgular, kamuya açıklanmış ve çok önemli olan açıkların bile onarılmak için fazla zaman gerektirebileceğini göstermekte. Bu durum da, geliştiricilerinin hızlı bir şekilde güncelleyemediği uygulamaları kullanan kişiler için sorunlar yaratmakta.

Araştırmacıların bu ayın başlarında açıkladığına göre, çoğu yazılım programları ve tarayıcılar, FREAK’e karşı zayıf durumdalardı. Bu açıklık, bir SSL/TSL şifreleme anahtarının, günümüzde genellikle kullanılan 2048-bit anahtardan çok daha zayıf olan 512-bit anahtara düşürülmesine sebep olabiliyor.

Bu açıklık, 1990’larda A.B.D. hükümetinin güçlü şifreleme anahtarlarına sahip yazılımların ülke dışına ihracatını sınırlayan kanunlarının günümüze ulaşmış bir sonucu olarak gözükmekte. Çoğu ürün, hâlâ, zayıf anahtarlar kullanmaya zorlanabilmekte ve bu anahtarlar da kamuya açık bulut hizmetlerinde bulunan matematiksel bir yazılım yardımı ile çözülebilmekteler.

FREAK’in özel olduğu nokta, güncellenmesi gereken uygulama sayısından kaynaklanıyor. Apple ve Google, hızlı bir şekilde işletim sistemlerini güncellediler ancak bu uygulamalarda kullanılan yazılımların da güncellemesi gerekiyor. FireEye, geçtiğimiz hafta itibari ile bu durumun gerçekleşmediği pek çok örnek bulduğunu belirtmekte.

Bulgulara göre, Google Play’de inceledikleri 10985 uygulamadan 1228 Android uygulaması hâlâ zayıf durumdaydı. Bu uygulamaların her biri, bir milyonun üzerinde indirmeye sahip olan uygulamalardı. Açıklığın bulunduğu uygulamalardan 664’ü Android’in içinde bulunan OpenSSL kütüphanesini kullanırken, geri kalanlar kendi düzenlenmiş OpenSSL sürümlerini kullanmaktalardı.

OpenSSL, SSL/TSL bağlantıları için yaygın bir şekilde kullanılan açık kaynaklı bir yazılım paketi. Yazılım, geçtiğimiz yıl bulunan bazı önemli açıklıkların ardından dikkatli bir şekilde incelenmeye başlamıştı. Bu açıklıkların arasında Heartbleed, POODLE ve FREAK de bulunmakta.

iOS tarafına bakıldığında ise, FireEye’ın söylediğine göre 14079 uygulamadan 771’i açıklığa sahip gibi gözükmekteydi. Ancak çoğu durumda bu sorun, sadece iOS 8.2’nin öncesinde sürümler kullanıldığında geçerli olmaktaydı. iOS 8.2 üzerinde açıklığa sahip olan ise sadece 7 uygulama bulunmaktaydı. Bu konu hakkındaki düşünceleriniz bizim için önemlidir, yorum yapmaktan çekinmeyiniz.

Kaynak: Chip

Gazi Üniversitesi Bilgisayar Mühendisliği Bölümü Öğretim Üyesi Prof. Dr. Sağıroğlu, Telefonlarda kullanılan uygulamaların risk taşıdığına dikkati çekerek “Uygulamalar insan hayatını kolaylaştırıyor fakat bu verilerin, istenmeyen kişilerin eline geçmesi büyük tehdit oluşturuyor. Özellikle kritik görevde çalışanların çok dikkat etmesi gerekiyor” diye konuştu.

Kişisel bilgilerin, uygulamalar vasıtasıyla paylaşıldığını anlatan Sağıroğlu, gereksiz kullanımdan kaçınılmasını istedi. İndirilen bazı uygulamaların, başka yazılımları harekete geçirebileceğine işaret eden Sağıroğlu, şu uyarılarda bulundu:

“Bir uygulama var, sizin rehberinizi diğer kişilerle paylaşıyor. Bir başka uygulama ise mesajlarınızı veya görüntülerinizi başkalarıyla paylaşıyor.

ABD’de pek çok ünlü sanatçının, cep telefonlarından elde edilen özel görüntüleri yayınlanıyor. Elektronik ortamlarda bir kelime dahi israf edilmiyor.

Dolayısıyla bu ortamlarda tutacağımız, paylaşacağımız veriler konusunda dikkatli olalım. Mümkün olduğu kadar az veri paylaşmalıyız. Verilerin, bu ortamlarda kalıcı olduğunu unutmayalım.”

HER YÜZ UYGULAMADAN 87’Sİ
Sağıroğlu, hayatı kolaylaştırmasının yanında risk de taşıyan uygulamaların dikkatli kullanılması gerektiğini belirterek, şöyle konuştu: “Cep telefonlarından kredi kartı bilgileriyle uçak bileti satın alıyoruz, her türlü veriyi paylaşıyoruz.

Bu çok güzel, hayatımızı kolaylaştırıyor ama bunların tehdit oluşturduğunu bilip, daha dikkatli kullanmalıyız. Kullandığımız teknolojinin özelliklerini çok iyi bilelim.

Her 100 uygulamanın 87’sine erişilebiliyor. Uygulamalar, telefon rehberinize, banka hesaplarınıza, özel mesajlarınıza ve diğer bazı içeriklere başkalarının ulaşabilmesine neden olabilir. Bilmediğimiz linklere tıklamayacağız, kaynağı bilinmeyen mailleri açmayacağız.

Çünkü tıkladığınız zaman casus yazılımlar iniyor. Eğer bir durumdan şüpheleniyorsak, casus yazılımın olup olmadığını kontrol eden merkezler var, onlardan yardım isteyebiliriz. Ayrıca anticasus, antivürüs gibi uygulamaları da indirip kullanırsak, internet ortamındaki riskleri azaltabiliriz.”

Sağıroğlu, kullanıcılardan, devletin sunduğu güvenli internet hizmetlerinden yararlanmalarını önererek, bu hizmetlerin operatörler aracılığıyla ücretsiz verildiğini kaydetti.