Raw isimli flört uygulamasındaki bir güvenlik açığı, kullanıcıların kişisel ve konum verilerini ifşa etti.
İfşa edilen veriler arasında kullanıcıların takma adları, doğum tarihleri, flört ve cinsel tercihlerinin yanı sıra konum bilgileri yer alıyor. Bazı konum verileri, kullanıcıların cadde düzeyinde tespit edilmesine olanak tanıyan oldukça spesifik koordinatlar içeriyordu.
2023 yılında piyasaya sürülen Raw, kullanıcıların günlük selfie fotoğraflarını yüklemelerini isteyerek daha samimi etkileşimler sunmayı hedefliyor. Şirket, kullanıcı sayısını açıklamıyor ancak Google Play Store’daki uygulama listesinde 500,000’den fazla Android indirmesi olduğu belirtiliyor.
Bu güvenlik açığı haberi, şirketin flört uygulamasının donanım uzantısı olan Raw Ring‘i duyurduğu hafta geldi. Bu henüz piyasaya sürülmemiş giyilebilir cihaz, kullanıcıların partnerlerinin kalp atış hızını ve diğer sensör verilerini takip etmelerini sağlayarak, sadakatsizlik tespit etmek için yapay zeka destekli içgörüler sunacağını iddia ediyor.
Raw, web sitesinde ve gizlilik politikasında, uygulamasının ve henüz piyasaya sürülmemiş cihazının uçtan uca şifreleme kullandığını belirtse de, yapılan testlerde bu güvenlik özelliğinin mevcut olmadığı gözlemlendi. Uygulama, kullanıcıların verilerini herhangi bir güvenlik kontrolü olmaksızın herkese açtı.
TechCrunch, güvenlik açığını keşfettikten sonra Raw, verilerin ifşasını düzeltmek için harekete geçti. Şirket, tüm daha önce açığa çıkan uç noktaların güvence altına alındığını ve gelecekte benzer sorunların önlenmesi için ek tedbirler alındığını açıkladı.
Raw’ın kurucu ortağı Marina Anderson, TechCrunch’a gönderdiği e-postada, şirketin uygulaması için üçüncü taraf bir güvenlik denetimi yapmadığını belirtti ve önceliklerinin kaliteli bir ürün geliştirmek olduğunu vurguladı. Anderson, etkilenen kullanıcılara bilgi verilip verilmeyeceği sorusuna kesin bir yanıt vermedi, ancak ilgili veri koruma otoritelerine detaylı bir rapor sunacaklarını duyurdu.
Güvenlik açığının ne kadar süreyle devam ettiği henüz bilinmiyor, ancak Anderson, şirketin olayı araştırmaya devam ettiğini söyledi. Uçtan uca şifreleme iddiaları hakkında ise Raw, verilerin transit aşamasında şifreleme kullandıklarını ve hassas veriler için erişim kontrolleri uyguladıklarını ifade etti.
Güvenlik Açığını Nasıl Keşfettik?
TechCrunch, uygulamanın test edilmesi sırasında bu açığı keşfetti. Uygulamayı sanal bir Android cihazında kurarak, gerçek dünya verisi vermeden test gerçekleştirdik.
Sanal cihazımızda sahte verilerle yeni bir kullanıcı hesabı oluşturduk ve konumumuzu Kaliforniya’daki bir müzede olduğumuz gibi gösterdik. Uygulama, sanal cihazımızın konumunu talep ettiğinde, hassas konum bilgisine erişim izni verdik.
Ağ trafiği analiz aracı kullanarak Raw uygulamasının veri akışını izledik ve kullanıcıların bilgilerini nasıl yüklediğini anlamaya çalıştık. Uygulama, kullanıcı profil bilgilerini doğrudan şirketin sunucularından çekti, ancak bu veriler herhangi bir kimlik doğrulama ile korunmuyordu.
Bu, kullanıcıların özel bilgilerine erişimin mümkün olduğu anlamına geliyordu; herhangi biri bir web tarayıcısı kullanarak açığa çıkan sunucunun adresine giderek başkalarının bilgilerine ulaşabiliyordu.
Bu tür bir güvenlik açığı, güvensiz doğrudan nesne referansı (IDOR) olarak bilinir ve güvenlik kontrollerinin eksikliği nedeniyle başka bir kullanıcının sunucusundaki verilere erişim sağlanmasına neden olabilir.
ABD siber güvenlik ajansı CISA, IDOR hatalarının sunduğu risklere, genellikle hassas verilere “ölçekli” erişim sağlama yeteneği de dahil olmak üzere, uzun süredir dikkat çekiyor. CISA, geliştiricilerin uygulamalarının uygun kimlik doğrulama ve yetkilendirme kontrollerini gerçekleştirmesini sağlamaları gerektiğini belirtiyor.
Raw, güvenlik açığını düzelttikten sonra, açığa çıkan sunucu artık kullanıcı verilerini tarayıcıda döndürmüyor.
