Takip yazılımları, aygıtlarına yazılım yüklenenlerin faaliyetleri hakkında bilgi toplanmasını, bunların iletilmesini ve saklanmasını içeren dijital casusluk olarak da tanımlanabilecek adımlardan oluşuyor. Bu cins yazılımlar, kurbanın aygıtının GPS pozisyonunu, konuşmalarını, fotoğraflarını, tarayıcı geçmişini ve daha fazlasını izleyebiliyor. Takip yazılımı üreticileri, göz önünde olmak ve takip yazılımı olarak işaretlenmekten kaçınmak için, uygulamalarını çocuklara, çalışanlara yahut bayanlara müdafaa sağlamak amaçlıymış üzere tanıtıyorlar.
ESET telemetrisinden elde edilen bilgilere bakılırsa, takip yazılımı uygulamaları son birkaç yılda giderek daha tanınan hale geldi. 2019 yılında, 2018’den neredeyse beş kat daha fazla Android takip yazılımı tespit edildi. 2020 yılında ise 2019’dan yüzde 48 daha fazla takip yazılımı görüldü. Takip yazılımı uygulamaları etik olarak sorgulanabilir davranışları teşvik ediyor. Birden fazla taşınabilir güvenlik tahlili bu uygulamaları istenmeyen yahut ziyanlı olarak işaretliyor. Uygulamalar, kullananların kurmuş olduğu rastgele bir uygulamadan daha fazla bilgi toplama, saklama ve gönderim erişimi istiyor.
ESET araştırmacısı Lukas Štefanko, kullanması giderek artan Android uygulamalarındaki güvenlik ve saklılık meselelerine odaklanılarak yürütülen araştırmanın sonuçlarını paylaştı. Araştırma kapsamında Android platformunda çalışan, 86 farklı üretici tarafınca sağlanan 86 farklı takip yazılımı uygulaması manuel olarak tahlil edildi. Önemli güvenlik ve kapalılık problemleri tanımlandı. Örneğin bir saldırgan uygulamayı kullanarak kurbanın aygıtının denetimini, bir takipçinin hesabını ya da datalarını ele geçirebilir. Saldırgan uydurma deliller yükleyerek kurbana komplo kurabilir yahut kurbanın akıllı telefonunda uzaktan kod yürütmesine niye olabilir.
Štefanko araştırma sonuçları ile ilgili bilgi verirken şunları söylemiş oldu: “Yaptığımız araştırma, takipçi yazılımının gelecekteki potansiyel müşterilerine, eşlerine ve sevdiklerine karşı yazılım kullanmayı bir daha gözden geçirmeleri için bir ihtar misyonu görmeli çünkü hem etik değil tıpkı vakitte eşlerinin özel ve samimi ayrıntılarının açığa çıkmasına niye olabilir. Onları siber akın ve dolandırıcılık riski altında bırakabilir. Takipçi ve kurban içinde yakın bir alaka olabileceğinden, takipçinin özel ayrıntıları de açığa çıkabilir. Araştırmamız sırasında, birtakım takipçi yazılımlarının uygulamayı kullanarak takipçiler hakkında bilgi sakladığını ve takipçiler dataların silinmesini talep ettikten daha sonra bile kurbanlarının bilgilerini bir sunucuda topladığını tespit ettik.
Android uygulamalarının 58 adedinde, bir kurban üzerinde önemli bir tesiri olabilecek toplam 158 güvenlik ve zımnilik sorunu keşfettik. Takipçinin yahut uygulama üreticisinin bile risk altında olabileceğini gördük. 90 günlük koordineli bilgilendirme siyasetimizi izleyerek, etkilenen üreticilere bu sıkıntıları tekraren bildirdik. Ne yazık ki, bu güne kadar, sırf altı üretici uygulamalarında bildirdiğimiz sıkıntıları çözdü. Kırk dört üretici karşılık vermezken yedi üretici, yaklaşan bir güncellemede problemlerini çözeceğine dair yemin etti, lakin çabucak hemen yamalı güncellemeler yayımlamadı. Bir satıcı da bildirilen meseleleri düzeltmemeye karar verdi.”
ESET telemetrisinden elde edilen bilgilere bakılırsa, takip yazılımı uygulamaları son birkaç yılda giderek daha tanınan hale geldi. 2019 yılında, 2018’den neredeyse beş kat daha fazla Android takip yazılımı tespit edildi. 2020 yılında ise 2019’dan yüzde 48 daha fazla takip yazılımı görüldü. Takip yazılımı uygulamaları etik olarak sorgulanabilir davranışları teşvik ediyor. Birden fazla taşınabilir güvenlik tahlili bu uygulamaları istenmeyen yahut ziyanlı olarak işaretliyor. Uygulamalar, kullananların kurmuş olduğu rastgele bir uygulamadan daha fazla bilgi toplama, saklama ve gönderim erişimi istiyor.
ESET araştırmacısı Lukas Štefanko, kullanması giderek artan Android uygulamalarındaki güvenlik ve saklılık meselelerine odaklanılarak yürütülen araştırmanın sonuçlarını paylaştı. Araştırma kapsamında Android platformunda çalışan, 86 farklı üretici tarafınca sağlanan 86 farklı takip yazılımı uygulaması manuel olarak tahlil edildi. Önemli güvenlik ve kapalılık problemleri tanımlandı. Örneğin bir saldırgan uygulamayı kullanarak kurbanın aygıtının denetimini, bir takipçinin hesabını ya da datalarını ele geçirebilir. Saldırgan uydurma deliller yükleyerek kurbana komplo kurabilir yahut kurbanın akıllı telefonunda uzaktan kod yürütmesine niye olabilir.
Štefanko araştırma sonuçları ile ilgili bilgi verirken şunları söylemiş oldu: “Yaptığımız araştırma, takipçi yazılımının gelecekteki potansiyel müşterilerine, eşlerine ve sevdiklerine karşı yazılım kullanmayı bir daha gözden geçirmeleri için bir ihtar misyonu görmeli çünkü hem etik değil tıpkı vakitte eşlerinin özel ve samimi ayrıntılarının açığa çıkmasına niye olabilir. Onları siber akın ve dolandırıcılık riski altında bırakabilir. Takipçi ve kurban içinde yakın bir alaka olabileceğinden, takipçinin özel ayrıntıları de açığa çıkabilir. Araştırmamız sırasında, birtakım takipçi yazılımlarının uygulamayı kullanarak takipçiler hakkında bilgi sakladığını ve takipçiler dataların silinmesini talep ettikten daha sonra bile kurbanlarının bilgilerini bir sunucuda topladığını tespit ettik.
Android uygulamalarının 58 adedinde, bir kurban üzerinde önemli bir tesiri olabilecek toplam 158 güvenlik ve zımnilik sorunu keşfettik. Takipçinin yahut uygulama üreticisinin bile risk altında olabileceğini gördük. 90 günlük koordineli bilgilendirme siyasetimizi izleyerek, etkilenen üreticilere bu sıkıntıları tekraren bildirdik. Ne yazık ki, bu güne kadar, sırf altı üretici uygulamalarında bildirdiğimiz sıkıntıları çözdü. Kırk dört üretici karşılık vermezken yedi üretici, yaklaşan bir güncellemede problemlerini çözeceğine dair yemin etti, lakin çabucak hemen yamalı güncellemeler yayımlamadı. Bir satıcı da bildirilen meseleleri düzeltmemeye karar verdi.”