Günlük bakım izleme uygulamaları ‘tehlikeli derecede güvensiz’, rapor
‘i buluyor
Yeni yayınlanan araştırmaya göre, popüler günlük bakım ve çocuk bakımı iletişim uygulamaları “tehlikeli derecede güvensiz”, çocukları ve ebeveynleri zayıf güvenlik ayarları ve izin veren veya tamamen yanıltıcı gizlilik politikaları ile veri ihlali riskine maruz bırakıyor.
Ayrıntılar, Salı günü aylarca süren bir araştırma projesinin sonuçlarını yayınlayan Electronic Frontier Foundation’ın (EFF) yeni bir raporundan geliyor.
Eff’nin Certbot projesi için mühendislik direktörü Alexis Hancock tarafından yürütülen araştırma, Brightwheel, HiMama ve Tadpoles gibi popüler uygulamaların iki faktörlü kimlik doğrulamasından (2FA) yoksun olduğunu, yani bir kullanıcının şifresini alabilen herhangi bir kötü niyetli aktörün uzaktan giriş yapabileceği anlamına geldiğini buldu. Uygulama kodunun daha fazla analizi, gizlilik politikalarında açıklanmayan Facebook ve diğer üçüncü taraflarla veri paylaşımı da dahil olmak üzere gizlilikten ödün vermeyen bir dizi başka özelliği ortaya çıkardı.
EFF ile temasa geçtikten sonra, Brightwheel 2fa’yı uyguladı ve ”erken eğitim endüstrisinde bu ekstra güvenlik katmanını ekleyen ilk kişi” olduğunu iddia ediyor.” Himama’nın, özellik talebini tasarım ekibine ileteceğini, ancak henüz ek güvenlik özelliğini uygulamadığını söylediği bildirildi. Kurbağa yavrularının 2fa’yı uygulama niyeti olup olmadığı bilinmemektedir.
Hancock, iki yaşındaki kızını ilk kez kreşe kaydederken Brightwheel’i indirmesi istendikten sonra çeşitli kreş uygulamalarının gizlilik ve güvenlik ayarlarını araştırmaya başladı. Hancock, Verge’ye, başlangıçta kızıyla ilgili güncellemeleri almak için uygulamayı kullanmaktan zevk aldığını, ancak bilgilerin potansiyel olarak hassas doğası göz önüne alındığında güvenlik eksikliğinden endişe duyduğunu söyledi.
Hancock, ”İlk başta [kızımı] gün boyunca, bana gönderdikleri görüntülerle görmekte çok fazla rahatlık vardı” dedi. “Sonra uygulamaya şöyle bakıyordum, normalde bunun gibi çoğu hizmette göreceğim güvenlik kontrollerini gerçekten göremiyorum.”
Yazılım geliştirmede bir geçmişe sahip olan Hancock, uygulama kodunu analiz etmek ve çocuk bakımı uygulamalarının her biri tarafından yapılan ağ çağrılarını araştırmak için Apktool ve mıtmproxy gibi bir dizi aracı kullanabildi ve kolayca düzeltilebilen bir dizi hata bulduğuna şaşırdı.
“Birkaç uygulamada izleyici buldum. Zayıf güvenlik politikası, zayıf şifre politikaları buldum, “dedi Hancock. “Bazı uygulamalardan geçerken düzeltilmesi çok kolay güvenlik açıkları buldum. Gerçekten sadece düşük asılı meyve.”
Eff’nin yeni raporu, çocukları güvende tutmak için güvenilen uygulamalardaki ciddi kusurlara dikkat çeken ilk rapor değil. Yıllardır, araştırmacılar gündeme getirdiği endişeler üzerine güvenlik açıkları bebek monitör uygulamaları ve ilişkili donanım, bazı bu zayıflıkları istismar hackerlar için mesaj gönderin çocukları. Daha geniş anlamda, çocuklar tarafından kullanılması muhtemel 1000 uygulamadan oluşan bir anket, üçte ikisinden fazlasının reklam endüstrisine kişisel bilgi gönderdiğini ortaya koydu.
Hancock, bu gizlilik ve güvenlik kusurları hakkında rapor vermenin çocuk odaklı uygulamaların daha iyi düzenlenmesine yol açabileceğini umuyor — ancak yine de bulgular onu endişelendirdi.
”Bir ebeveyn olarak çocuğum için daha da korktuğumu hissettirdi” dedi. “Beş yaşına gelmeden önce veri ihlali yapmasını istemiyorum. Yapabileceğim her şeyin olmayacağına emin olmak için yapıyorum.”