Android mobil işletim sistemine sahip bir telefon kullanıyorsanız ciddi bir güvenlik sorunu ile karşı karşıya olabilirsiniz. Almanya'nın Ulm Üniversitesi, Medya Enformatik Enstitüsü'nde görevli araştırmacıların, Google'ın işletim sisteminde ortaya çıkardıkları güvenlik açığı kullanılarak kullanıcının şifreleri ele geçirilebiliyor.
Bastian Könings, Jens Nickels ve Florian Schaub adlı araştırmacılar, Dan Wallach'ın Android'in güvenliğine dair risklerden bahseden blog yazısı üzerine konuyu daha detaylı araştırmaya karar verdiler ve ne yazık ki Wallach'ın haklı olduğunu ortaya çıkardılar. Yapılan araştırmanın sonuçlarına göre Android 2.3.3 ve önceki tüm sürümlerde kullanıcının şifrelerini elde etmek son derece kolay.
İşin daha vahimi Google'ın kendi yayınladığı istatistiklere bakacak olursak şu anda bu konudaki güvenlik açığı bulunan Android sürümlerini kullananların oranı %99'un üzerinde…
Güvenlik açığı temel olarak güvenli olmayan WiFi noktalarından internete erişim esnasında ortaya çıkıyor. Telefonların çoğu daha önceden tanıdıkları bağlantı noktalarını keşfedince otomatik olarak bağlantı sağlıyorlar ve Gmail, Facebook, Google Calendar gibi uygulamalar da otomatik senkronizasyona başlıyorlar. Araştırmanın ortaya çıkardığı sonuca göre işte bu noktada araya giren art niyetli kişiler ClientLogin protokolünün, authToken olarak bilinen ve doğrulama bilgilerinin cihaz üzerinde saklanmasını sağlayan özelliği sayesinde bu şifreleri elde edebiliyorlar. Üstelik herhangi bir sebepten dolayı uygulama ve sunucu arasındaki şifre doğrulama başarısız olsa bile şifreler yine de başkalarının eline geçebiliyor.
Durum farkına varan Google, Android 2.3.4 güncellemesi ile güvenlik açığını ortadan kaldırdı. 3.0 sürümünde de bu sorunun olmadığı belirtiliyor. Fakat ne yazık ki bu iki sürüm, şu an kullanımda olan tüm Android sürümlerinin %1'inden bile daha az bir kullanım oranına sahip. Şu anda Türkiye'de satılan Android cihazların var sayılan Android sürümünün 2.2 veya 2.2.1 olduğunu düşünecek olursa ülkemizde bu oranın daha yüksek olması muhtemel.
Peki Ne Yapılabilir?
Öncelikle eğer mümkünse ilk fırsatta Android sürümünü 2.3.4'e yükseltmeye bakın (Bu sürümün getirdiği yenilikleri şu yazımızdan inceleyebilirsiniz). Bu güncellemeyi yapana kadar ise şifre korumasına sahip olmayan halka açık WiFi ağlardan uzak durmak, uygulamaların otomatik senkronizasyon özelliğini kapalı tutmak (ki bu çoğu uygulamanın doğasına aykırı olduğu için pek mümkün görünmüyor) ve olabildiğince HTTP yerine daha güvenli olan HTTPS bağlantıları tercih etmekte fayda var.