Telefonumuz Akıllı. Peki Ya Biz?

Akıllı telefon kullanımı giderek yaygınlaşıyor. Nimetlerinden yararlanıyoruz. Hayatımız kolaylaşıyor. Mis gibi..

Telefonlarımız akıllı olmasına akıllı da.. Peki ya biz ne kadar akıllıyız?

Kaçımız, akıllı telefonuna yüklediği uygulamaların izinlerine dikkat ediyor?

İzin mi? O da ne?” diyorsanız bu yazıyı pür dikkat okumanızda yarar var.

Yüklediğiniz her uygulama, telefonunuzdan bazı izinler ister. Nedir bu izinler?

Telefonunuzun rehberindeki bilgileri okuyabilme, SD kart içeriğini okuyabilme/yazabilme, bulunduğunuz coğrafi konumu takip edebilme, titreşim özelliğini kullanabilme, vb. birçok izin var. Uygulamalar size bazı hizmetler sunarken asgari şekilde bu izinlere ihtiyaç duyarlar.

Örneğin bir internet tarayıcı uygulaması, doğal olarak internet erişim iznine ihtiyaç duyar. Bu izin olmazsa internete bağlanamaz ve internet tarayıcı fonksiyonunu gerçekleştiremez çünkü. Veya bir e-kitap okuyucu, SD kart içeriğini okuma/yazma izni ister ki bu sayede e-kitaplarınızı SD karttan okuyabilir veya yeni indirdiğiniz bir kitabı SD karta yazabilir. Örnekleri çoğaltmak mümkün.

Bu izinler içerisinde en kritik olanları, tam internet erişim izni, rehber bilgilerini okuyabilme/yazabilme izni, SD kart okuma/yazma iznidir. Bu nedenle bu izinlere ihtiyaç duyan uygulamalara karşı çok hassas davranmamızda yarar var.

SD kartı okuma izni isteyen bir uygulama, SD kartınızdaki tüm bilgileri (kart içerisinde özel fotoğraflarınız, videolarınız veya şirketinizin gizlilik arzeden belgeleri bulunabilir) okuyabilir. Eğer bir de internet erişim izni varsa, bu bilgileri çok rahatlıkla sizden alıp kendi server’ına taşıyabilir. Yine aynı şekilde rehber bilgilerinizi okuma/yazma izni olan bir uygulama aynı zamanda internet erişim iznine sahipse, bu bilgileri sizden çalabilir. Çok mu paranoyakça geldi? Peki o zaman.. Size bu tür veri hırsızlığı yapan şirketlerin arasında Twitter, Foursquare, Instagram, Facebook, Linkedin gibi isimlerin bulunduğunu söylesem?

Şu habere bir göz atmak ister misiniz? Mobile Apps Take Data Without Permission

Bakın bu haber de Linkedin’in rehberinizdeki kişileri size sormadan kendi server’ına nasıl kopyaladığını anlatıyor

Bankacılık sektöründe belli başlı birkaç bankanın uygulamasını analiz ederek durumu yakından inceleyelim. Neden bankacılığı seçtiğimi de anlatayım. Mobil hayat için oldukça önemli ve herkesin kullanmak isteyeceği ama normalde hiçbir zaman rehber bilginize ihtiyaç duymaması gereken uyguluma üretmeleri gerektiğini düşündüğüm bir sektör çünkü.

Herhangi bir bankacılık işlemi için ister şubeden olsun, ister ATM’den, ister internet şubesinden, hiçbir banka cep telefonunuzdaki kişilerin bilgilerine ihtiyaç duymaz değil mi? Bankacılık işlemleri ile telefonunuzdaki kişilerin iletişim bilgilerinin ne ilgisi var!? Saçma, değil mi? O zaman mobil uygulamalarında da telefonumuzdaki rehber bilgilerine ihtiyaç duymaması gerekemez mi? Acaba bu uygulamalar hangi izinlere sahip? Bu uygulamaları kullanırken bilerek veya bilmeyerek nelere izin veriyoruz? Detayları inceledikçe hayrete düşecek ve bu başı boşluğun nasıl var olabildiğini sorgulamaya başlayacaksınız.

Bu örnek çalışmayı hem iOS hem de Android mobil işletim sistemli akıllı telefonlar için gerçekleştirdim.

iOS ile başlayalım, sonra da kullanıcısı olduğum için iOS’a nazaran daha hakim olduğum Android’i ele alacağım.

iOS kullanıcılarının yakından tanıdığı bir uygulumadan bahsetmek istiyorum: Clueful. Bu uygulama, Temmuz ayında Apple App Store’da yasaklanması ile gündeme gelmişti.

Nedir Clueful?

Clueful, iPhone’unuzdaki uygulamaların, hangi izinlere sahip olduğunu gösteren bir uygulama. Böyle bir bilgiyi paylaşarak iOS kullanıcılarını bilinçlendirmesi, şeffaflık adına çok iyi bir şey ama nedense Apple bu uygulamayı App Store’dan kaldırdı. Kaldırmasının altında yatan nedene hiç girmeyeceğim, çünkü Apple gibi bir şirketten beklenebilecek hamleler bunlar. Uygulama kaldırıldı ancak Bitdefender firması, bu uygulamayı web üzerinden ücretsiz bir şekilde kullanıma açık tutuyor. http://www.cluefulapp.com/ adresine girdiğinizde, izinlerini merak ettiğiniz uygulamanın ismini yazın ve karşınıza gelen ekranı dikkatlice inceleyin.

Kötünün içerisinde en iyisi olduğunu düşündüğüm banka olması sebebiyle yıllardır kullandığım Garanti Bankası’nın “Garanti Cep Şubesi” uygulaması ile başlamak istiyorum.

Overview ekranında, “Can read your Address Book” ibaresini göreceksiniz. Details sekmesine tıkladığınızda da “This app can read the contacts list. Many apps have reasonable motive to do so in order to provide service. Some apps do not.” açıklamasını göreceksiniz. Yani bu uygulama telefon rehberinizdeki bilgileri okuyabilir.

Yapı Kredi: Rehber bilgilerini okuma izni istemiyor. Harika..

Akbank: Direkt uygulamasına Clueful’dan bakamadım. Sanırım henüz sisteme girilmemiş.

İş Bankası: Aynı şekilde, bu uygulamayı da Clueful üzerinde bulamadım.

 

Gelelim Android cephesine. Öncelikle Android uygulamalarında izinler çok daha detaylıdır. Uygulamanın çalışırken kullanacağı tüm izinler daha detaylı ve açık bir şekilde tanımlanmıştır ve uygulamayı telefonunuza yüklemeden önce hangi izinlere ihtiyaç duyulduğunu görür ve eğer bu izinlere onay verirseniz uygulamayı telefonunuza yükleyebilirsiniz. Aksi halde uygulama yüklenemez. Buna ilave olarak, root edilmiş Android telefonlarda izinleri çok daha hassas bir şekilde kontrol altında tutabileceğiniz uygulamalar mevcut. Dilerseniz bir uygulamaya “Read contact data” izni istemiş olsa bile bu izni engelleyebilirsiniz. Yazının konusu dışında olduğu için bu detayları şimdilik paylaşmayacağım. Belki bir başka yazıda anlatırım.

Aynı bankaların Android mobil uygulamalarının izinlerine bakalım bir de. Çünkü Android cephesinde bu izinleri çok net bir şekilde görebiliyoruz.

Garanti Cep Şubesi uygulamasının Google Play sayfasına girdiğinizde, sağdaki sekmelerden “İzinler” başlıklı sekmeye tıklayın.

Detaylı bir şekilde hangi izinlerin olduğunu göreceksiniz. Bizi ilgilendiren kısmına odaklanalım:

AĞ İLETİŞİMİ

TAM İNTERNET ERİŞİMİ
Uygulamaya, ağ yuvaları oluşturma izni verir.

KİŞİSEL BİLGİLERİNİZ

KİŞİ VERİLERİNİ OKU
Uygulamaya, tabletinizde depolanan tüm kişi (adres) verilerini okuma izni verir. Kötü amaçlı uygulamalar verilerinizi başkalarına gönderebilir. Uygulamaya, telefonunuzda depolanan tüm kişi (adres) verilerini okuma izni verir. Kötü amaçlı uygulamalar bunu kullanarak verilerinizi başkalarına gönderebilir.

Bu uygulama, internet erişimine ihtiyaç duymasaydı, kişileri okumasının hiçbir sakıncası olmayabilirdi (internet erişim izni olmasaydı da bankacılık hizmeti veremezdi). Ama hem kişileri okuma iznine sahip hem de tam internet erişim izni olan bir uygulama rehberinizdeki bilgileri kendi server’ına kopyalayabilir. Kopyalar demiyorum. Kopyalayabilir. Bir banka neden böyle bir şey mi yapsın? Yukarıdaki örnek haberleri boşuna paylaşmadım :)

Güvenlik konusunda (doğal olarak) bu kadar takıntılı/paranoyak olan bankaların, iş bizim güvenliğimize geldiğinde de aynı şekilde hassas olmasını beklemek doğal değil mi?

Banka çıkıp şunu söyleyebilir: “Uygulamanın daha işlevsel kullanılması için, adres defterinden bir kişinin bilgisinin çekilip uygulama içerisinde hızlı bir şekilde kullanılabilmesini sağlamak ve bu yolla da kullanıcı deneyimini arttırmak amacıyla bu izne ihtiyaç duyuyoruz”. Evet mantıklı bir gerekçe. Peki ama ben bu bilgilerin bir yerde toplanmadığından nasıl emin olacağım? Yukarıda linklerini paylaştığım haberleri okuduktan sonra hele…

Diğer bankaların Android uygulamaları nasıl peki?

İş Bankası, İşCep: Telefon rehberinizdeki bilgilere erişmek için izin istemiyor. Tebrik ediyorum İş Bankası’nı. Duyarlı bir davranış.

Yapı Kredi, Yapı Kredi Mobil Bankacılık: Yapı Kredi’yi de tebrik ediyorum. Telefon rehberindeki bilgilere erişim izni istemiyor. Müşterilerinin gizliliğine önem veriyor.

AkBank, Akbank Direkt: Malesef rehberdeki kişilere erişim izni istiyor.

İşte sırf bu nedenle Garanti Bankası’nın müşterisi olmama rağmen, mobil bankacılık uygulamasını kullanmıyorum ve bu gereksiz izinler uygulamadan kaldırılmadıkça da kullanmayacağım.

Rehber bilgilerimize ihtiyaç duymadan hizmet verebilen bankalar varken, neden bazıları bu bilgilere ihtiyaç duyuyor?

Diğer bankaların uygulamalarını veya telefonunuzdaki tüm uygulamaları tek tek inceleyebilirsiniz. Hatta mutlaka inceleyin derim.

Şimdi gelelim iki farklı işletim sisteminin iki farklı yaklaşımına. iOS’ta uygulama yüklerken hangi izne ihtiyaç duyduğu sorgulanmayan üstü kapalı bir sistem (ve bu nedenle eminim iPhone kullanıcılarının büyük çoğunluğu ilk defa böylesine önemli bir güvenlik riskinin farkında oluyorlar), Android tarafında ise her uygulama yüklenmeden önce izin sayfası kullanıcıya görüntülenerek, uygulamanın hangi izinlere ihtiyaç duyduğu bilgisi gösterilip, ancak kullanıcı onay verirse uygulamanın yüklenebildiği bir sistem var. Tabi Android cephesinde de kaç kişi bu izinlerin ne anlama geldiğini biliyordur, o da tartışılır. Ama Android’in daha şeffaf olduğu kesin.

Ne kadar dikkat ederseniz edin, telefon rehberinde sizin iletişim bilgilerinizi ve hatta sizinle ilgili tuttuğu özel notları taşıyan bir arkadaşınız bu güvenlik riskine dikkat etmedikçe bilgileriniz başka kişilerin eline çok rahatlıkla geçebilir. Bu nedenle akıllı telefon kullanıcılarının da akıllı olması yetmiyor, aynı zamanda çevrenizdekileri de uyararak bu tür tehlikelere karşı bilinçli ve uyanık olmalarını sağlamanız ve onların da akıllı telefonları akıllıca kullanmalarını sağlamanız gerekiyor.

Bu yazıyı lütfen çevrenizde akıllı telefon kullanan herkesle paylaşın ki önlerine çıkan her uygulamayı yüklememeleri gerektiğini bilsinler, seçici davransınlar. Bilgilerimizin güvende olmasını sağlamanın başka bir yolu yok çünkü.

Amacım, sansasyon yaratmak veya birilerini suçlamak değil, mobil uygulamalardaki güvenlik riski olan “izinler” konusuna dikkat çekmek ve hassas olmamız gerektiğini vurgulamaya çalışmaktı.

Yorum

Şimdi bir de bu bakış açısıyla uygulamalarınıza bir bakın bakalım bu bilgileri ne tür şirketler topluyor. Özellikle alışveriş, sohbet uygulamalarına göz atmanızı öneririm. Evet, mobil hayat kolaylık demek ama birilerinin kucağına biraz daha fazla oturmak değil. İnsanlar bilinçlendikçe, bu uygulamaları yazan şirketlerden bu izinlerin kaldırılmasını talep edecekler ve asıl modern hayat o zaman başlayacak. Eğer böyle olmazsa kulağındaki markayla gezen koyundan ne farkımız kalır ki?

“İyi de hemen her uygulama bu tür izinleri istiyor. Bunlara izin vermezsek hangi uygulamayı kullanacağız? Geriye kullanacak uygulama kalmıyor!” dediğinizi duyuyorum. Şöyle düşünün: Twitter, eğer bu hzimeti web üzerinden verirken sizin telefon rehberinizdeki bilgilere ihtiyaç duymadan bu hizmeti verebiliyorsa, neden mobil uygulamasında bu izni istiyor? Veya Linkedin.. Veya Facebook.. Düşündünüz mü hiç?

Çözüm Önerileri

Hem tam internet erişimi hem de rehber bilgilerinin okunmasının zorunluluk olduğu durumlar var. Bunun için de bir konsorsiyum oluşturulup, verilerin güvenli bir şekilde tutulduğunu garanti altına alan standartlar belirlenmeli ve bu sertifikayı kullanan şirketlerin uygulamalarına izin verilmeli.

Bireysel olarak da bu tür uygulamaları protesto etmeliyiz. Şahsen ben böyle bir uygulamayı protesto ettim ve uygulama geliştiricilerine, bir radyo uygulamasının benim rehber bilgime ihtiyaç duymasının anlamsız olduğunu ve bu yüzden de uygulamalarını kullanmayacağımı ve çevremdik kişileri de bu konuda uyaracağımı söyledim ve bir süre sonra bu uygulamadan rehber bilgilerini okuma izni kaldırıldı. Eğer gerçekten mücadele edersek, koyun gibi davranmazsak unutmayın çoğunluk bizi, müşteri de biziz ve bizi dinlemek zorundalar! Bunu unutmayın.

Daha pratik çözüm önerileri olanlar varsa, paylaşırlarsa çok memnun olurum.

Not: iOS’taki deneyimim Android’teki kadar olmadığı için, yanlış veya eksik bir bilgi paylaşmış olmak istemem. Konuya hakim kişilerin izinler ile ilgili deneyimlerinden yararlanmak isterim. Yapacakları yorumları yayınlamaktan memnuniyet duyarım.

Hakkında Özgür Turanlı

Mühendis, ek$i sözlük yazarı, DMOZ editörü, SEO bilir (ama "uzman" değil), Android, iOS ve GNU/Linux kullanıcısı. Mobil ve internet teknolojilerine ilgi duyuyor.

3 yorum

  1. Ozgur bey benim telefonum suan gingerbread ama ben ice cream sandwiche cevirmek istiyorum GTS5830 kullaniyorum surumum 2.3.3

  2. Özgür bey soru sormak istiyorum ama kapatmışsınız soru sorma bölümünü. Sorun çözmede sizden iyi olanı görmedim o yüzden size sormak istiyorum. Benim s5830i model telefonum var ama ekran kilidini sevmiyorum bunu s5830 daki gibi yapma şansımız var mıdır yardımcı olursanız çok sevinrim. Benim kilit açma ekranım linkteki gibi http://www.google.com.tr/imgres?q=s5830i+ekran+kilidi&um=1&hl=tr&sa=N&biw=1024&bih=653&tbm=isch&tbnid=fSngZ0pOT9qZ2M:&imgrefurl=http://forum.xda-developers.com/showthread.php%3Ft%3D1822109%26page%3D2&docid=rZYzj7vD8B7UxM&imgurl=http://img.tapatalk.com/52302e93-1b5d-5191.jpg&w=320&h=480&ei=YcSxUJPcI4a6hAfAkoHgCw&zoom=1&iact=hc&vpx=461&vpy=267&dur=2470&hovh=275&hovw=183&tx=121&ty=187&sig=114453037576758323768&page=4&tbnh=158&tbnw=110&start=61&ndsp=23&ved=1t:429,r:76,s:0,i:298

    ama ben bu linkteki gibi http://www.google.com.tr/imgres?q=s5830i+ekran+kilidi&um=1&hl=tr&sa=N&biw=1024&bih=653&tbm=isch&tbnid=fSngZ0pOT9qZ2M:&imgrefurl=http://forum.xda-developers.com/showthread.php%3Ft%3D1822109%26page%3D2&docid=rZYzj7vD8B7UxM&imgurl=http://img.tapatalk.com/52302e93-1b5d-5191.jpg&w=320&h=480&ei=YcSxUJPcI4a6hAfAkoHgCw&zoom=1&iact=hc&vpx=461&vpy=267&dur=2470&hovh=275&hovw=183&tx=121&ty=187&sig=114453037576758323768&page=4&tbnh=158&tbnw=110&start=61&ndsp=23&ved=1t:429,r:76,s:0,i:298

    yada s5830 un normalde kullanılan ekran klidi modelinden olmasını istiyorum root yapmadan bunu çözmemizin imkanı var mıdır? Yardımcı olursanız sevinirim.. iyi günler iyi çalışmalar..

  3. özgür bey rom denemeniz vardı nasıl sonuçlar? 2.3.6 dan geçebileceğimiz stabil çalışan bir rom öneriniz olacak mı? saygılar selamlar

Cevap yazın

Yukarı Çık
test başarılı: 69.0.739.99