android-banking-trojan-with-10k-installs-can-bypass-two-factor-authentication-522909-2

Uygulamaların Hangi Verileri Topladıklarını Bulalım

Uygulamaların Hangi Verileri Topladıklarını Bulalım

Temelde tüm uygulamalar sizin hakkınızda bazı bilgiler toplar.

AppCensus ve Exodus hizmetlerini kullanarak tam olarak hangi verilerin toplandığını öğrenebilirsiniz.

Uygulamaların çoğu, kullanıcı hakkında bazı bilgiler toplar. Bazen çalışmak için bu bilgilere gerçekten ihtiyaçları vardır: Örneğin bir navigasyon uygulaması, size uygun bir rota belirleyebilmek için konum bilgilerinize ihtiyaç duyar. Program geliştiriciler sıklıkla para kazanmak ya da hizmetlerini iyileştirmek için, öncesinde verdiğiniz izin doğrultusunda, sizinle ilgili bilgileri kullanır. Örneğin, uygulamalarındaki tıkanıklıkları tespit etmek için anonim istatistikler toplayabilir, böylece geliştirilmesi gereken noktaları anlayabilirler.

Fakat bazı geliştiriciler, güveninizi kötüye kullanarak uygulamalarının işlevleriyle ilgisi olmayan bilgileri gizlice toplayabilir ve verilerinizi üçüncü taraflara satabilir. Neyse ki bu tür uygulamaları ortaya çıkarmak için kullanabileceğiniz birkaç hizmet var.

AppCensus

AppCensus hizmeti, uygulamaların hangi kişisel verileri topladığını ve bu verileri nereye gönderdiğini öğrenmenize yardımcı oluyor. Dinamik analiz yöntemini kullanıyor: Uygulama gerçek bir mobil cihaza kuruluyor, gerekli tüm izinler veriliyor ve belirli bir süre boyunca aktif olarak kullanılıyor. Hizmet bu sırada uygulamanın hangi verileri kime gönderdiğini ve bu verilerin şifrelenip şifrelenmediğini izliyor.

Bu da uygulamanın gerçek hayattaki davranışlarına ışık tutuyor. AppCensus’un bulduğu bilgilerden rahatsız olursanız söz konusu uygulamayı kullanmayı bırakabilir ve ilgisiz işlere burnunu sokmayan bir alternatif arayabilirsiniz. Ancak AppCensus’un topladığı bilgilerde bazı eksiklikler de olabiliyor; her uygulama yalnızca kısıtlı bir zaman boyunca test ediliyor ve bazı uygulama özelliklerinin etkinleştirilmesi için belirli bir süre geçmesi gerekebiliyor. Bunun yanı sıra AppCensus yalnızca ücretsiz ve herkese açık Android uygulamalarını analiz edebiliyor.

Exodus Privacy

AppCensus’un aksine Exodus Privacy uygulamaların davranışlarını değil, kendilerini inceliyor. Hizmet, uygulamanın istediği izinleri analiz etmenin yanı sıra, siz ve eylemleriniz hakkında bilgi toplamak için yaratılmış üçüncü taraf modüller olan dahili izleyicileri de tespit ediyor. Geliştiriciler, uygulamalarına sıklıkla reklam ağları tarafından sunulan izleyiciler yerleştirir. Bunların amacı, size kişiselleştirilmiş reklamlar sunmak için hakkınızda mümkün olduğunca fazla bilgi edinmektir. Şu anda Exodus Privacy 200’den fazla bu tür izleyiciyi tespit edebiliyor.

İzinlerden bahsetmişken, Exodus Privacy bu izinleri size ve verilerinize yönelik oluşturdukları tehlike açısından analiz ediyor. Bir uygulama, gizliliği tehlikeye atma veya cihazın korumasına zarar verme olasılığı bulunan bir izin istediği takdirde hizmet bunu kullanıcıya bildiriyor. Uygulamanın potansiyel olarak tehlikeli olabilecek izinlere ihtiyacı olmadığına inanıyorsanız, bu izinleri vermemek en iyisi olacaktır. İsterseniz daha sonra verdiğiniz izinleri artırabilirsiniz.

İzinlerden bahsetmişken, Exodus Privacy bu izinleri size ve verilerinize yönelik oluşturdukları tehlike açısından analiz ediyor. Bir uygulama, gizliliği tehlikeye atma veya cihazın korumasına zarar verme olasılığı bulunan bir izin istediği takdirde hizmet bunu kullanıcıya bildiriyor. Uygulamanın potansiyel olarak tehlikeli olabilecek izinlere ihtiyacı olmadığına inanıyorsanız, bu izinleri vermemek en iyisi olacaktır. İsterseniz daha sonra verdiğiniz izinleri artırabilirsiniz.

Uygulamaların küçük sırları

Her iki hizmet de çok kolay kullanılıyor. Basitçe uygulamanın adını aratarak hangi verileri topladığı ve bu verileri nereye gönderdiği hakkında bilgiye erişebiliyorsunuz. AppCensus’tan farklı olarak Exodus, kullanıcıların uygulamaları yalnızca listeden seçmekle kalmayıp Yeni analiz sekmesini kullanarak Google Play’den uygulama ekleyebilmelerini sağlıyor.

Örnek olması için Google Play’den 5 milyon defa indirilmiş bir selfie kamerası uygulamasını inceledik. Exodus Privacy, uygulamanın dört reklam izleyici kullandığını ve yalnızca kamera erişimi istemekle kalmayıp aynı zamanda hem cihaz konumuna hem de telefon ve arama verilerine erişim talep ettiğini gösterdi. Cihaz konumu, bu uygulamanın çalışması için olmazsa olmaz değil (teoride cihaz konumu, çekilen fotoğrafların EXIF bilgilerine konum etiketi eklemek gibi iyi bir amaçla kullanılabilir); telefon ve arama verileri ise bu tür bir uygulama için kesinlikle gerekli değil.

Aynı uygulamanın AppCensus tarafından gerçekleştirilen analizi ise kaygıları artırıyor: Bu hizmete göre, selfie kamerası yalnızca telefonunuzun veya tabletinizin konumuna erişim sağlamakla kalmıyor, bu bilgileri IMEI numaranız (cihazınızın kendine özgü hücresel ağ tanıtıcısı), MAC adresiniz (cihazınızın internette veya yerel ağlarda kimliğinin belirlenmesini sağlayan bir diğer benzersiz kod) ve Android ID’niz (sisteminizi ilk kurduğunuzda sisteme atanan bir kod) ile birlikte Çin’deki bir IP adresine gönderiyor. Üstelik tüm bunları şifrelemeden yapıyor. İyi niyet aramayı bırakın; tüm bunların iyi bir sebebi olamaz.

Cihazınızın hareketlerini takip etmek için kullanılabilecek olan veriler, Çin’deki birilerine gönderiliyor. Üstelik iletim sırasında herhangi başka biri tarafından da ele geçirilebilir. Bu verilerin kimlere iletildiği ya da satıldığı da sorulması gereken iyi bir soru. Buna rağmen geliştiriciler, gizlilik politikalarında kullanıcı hakkında herhangi bir kişisel veri toplamadıklarını ve cihazın konumunu kimseye iletmediklerini öne sürüyorlar.

Gözetlenmeye karşı koruma sağlanabilir mi?

Görüdüğünüz gibi, gayet sıradan bir gizlilik politikasına sahip popüler bir uygulama bile hassas verilerinizi tehlikeye atabiliyor. Bu yüzden mobil uygulamalara dikkatle yaklaşmanızı öneriyoruz:

  • Durduk yere uygulama yüklemeyin. Hiç kullanmasanız veya açmasanız bile sizi gözetleyebilirler. Kurulu bir uygulamaya artık ihtiyaç duymuyorsanız silin.
  • Tanımadığınız uygulamaları yüklemeden önce taramak için AppCensus ve Exodus Privacy kullanın. Sonuçlar sizi kaygılandırıyorsa başka bir uygulama arayın.
  • Uygulamalara istedikleri tüm izinleri vermeyin. Bir uygulamanın belirli bir bilgiye neden ihtiyaç duyduğundan emin değilseniz o bilgiye erişim vermeyin.