Son Güncelleme 15 Ağustos 2022
Bu yazıya başlarken, bazı uyarıları yapmanın gerekli olduğunu düşünüyorum. Öncelikle bu yazının amacı, Android işletim sisteminin güvenlik açıklarına sahip olduğu ve kullanılmaması gerektiği önerisinde bulunmak değildir. İnsan eli ile oluşturulan tüm yazılım ve donanımlar potansiyel olarak güvenlik açıklarına karşı korumasız olabilir. Nitekim iOS kullanıcılarının Android’in aşırı güvenlik açıkları barındırma potansiyeli nedeniyle tercih edilmemesi yönündeki iddiaları, kendi sistemlerindeki açıkları görmezden gelmelerinden kaynaklanmaktadır. Zira Apple ürünleri ve yazılımlarındaki açıklar çok defa haber sayfalarını süslemektedir. Ancak Android’in açık kaynak olması, potansiyel birçok işlevi barındırması gibi durumlar insanların bu tür iddialara sarılmalarına yol açmaktadır. Yanlış kullanılmak istendiğinde, en yararlı cihaz veya yazılımın potansiyel tehlike kaynağı olabileceğini unutmamak gerekir. Örneğin bir bıçak, meyve/sebze dilimlemek gibi çok yararlı işlevler için kullanılabileceği gibi, cinayet işlemek için de kullanılabilmektedir. Cinayet için kullanılabilme ihtimali, bıçağın kötü bir nesne olduğu ve uzak durulması gerektiği sonucuna bizi nasıl ulaştırmıyorsa, Android gibi sistemlerin de potansiyel tehlikeler barındırmaya açık olması ve kötü niyetli insanların eliyle kötü amaçlar için kullanılabilme potansiyeli de, bizleri Android’in kullanılmaması gerektiği gibi bir sonuca ulaştırmamalıdır.
Burada erişilebilirliğin bazı zararlı uygulamaların tehlikeli içeriklerine açık bulunduğunun anlatılması, erişilebilirliğin tamamen kötü olduğu veya tehlikeler içerdiği çıkarımına yol açmamalıdır. Zira bugüne dek erişilebilirlik hizmeti kullanan insanların sırf bu nedenle zarara uğradığı haberlerine rastlamak neredeyse mümkün değildir. Bu yazıda anlatılmak istenen, crack uygulamaların kullanılmasıyla, özellikle ekran okuyucular ve Braille klavyeleri gibi erişilebilirlik hizmeti sunan uygulamaların crack sürümlerinin kullanılması, belirli zararlara ve tehditlere karşı, olması gerekenden daha çok açık duruma geleceğimizi belirterek bu konuda okuyucuları uyarmaktır. Bu uyarıları yaptıktan sonra, asıl konumuza geçebiliriz.
Akıllı cihazlar ve bu cihazlar üzerinde çalışan uygulamalar günümüzde oldukça yaygın olarak kullanılmaktadır. Sosyal medya uygulamalarından haber uygulamalarına, dil öğrenme uygulamalarından belge düzenleyicilere, müzik/video oynatıcılardan çeşit çeşit oyunlara, bankacılık uygulamalarından ekran okuyuculara ve ses sentezleyicilerine kadar herkes dilediği alanda neredeyse dilediği sayıda uygulamaya erişim sağlayabiliyor. Ancak mobil uygulamalar programlandıkları görevleri yerine getirebilmeleri için bazı gereksinimlere ihtiyaç duymaktadırlar. Bu gereksinimler Android ve iOS gibi işletim sistemlerinde karşımıza izinler şeklinde çıkmaktadırlar. Birçok uygulama, genellikle hassas bilgileri içeren izinlere erişim talep etmektedir. Özellikle kişisel/hassas bilgilere erişim, bazı güvenlik sorunlarını da beraberinde getirebilmektedir. Her ne kadar cihaz üreticileri ve Google bu tür güvenlik sorunlarını ortadan kaldırmak için belirli önlemler almakta olsalar da, zararlı uygulamalar hala piyasada bulunmakta ve birçok kullanıcı tarafından bilinçsizce kullanılmaktadır. Google tarafından oluşturulan Google Play Protect birçok zararlı uygulamayı tespit ederek engellemektedir. Buna rağmen Google Play Store’da zararlı uygulamalar bulunduğuna ilişkin haberleri bir çoğumuz okumaktayız. Play Store gibi güvenlik denetiminden geçmekte olan bir sistemde bile bu kadar tehdit içeren zararlı uygulama olduğunu göz önüne alacak olursak, harici kaynaklardan yüklenen uygulamaların nasıl bir tehdit ve potansiyel sorunlar içerebileceğini daha iyi anlayabiliriz. Ancak harici olarak yüklenen tüm uygulamaların tehdit veya zararlı yazılım içerdiği gibi bir iddiada bulunmak da son derece yanlış olacaktır.
Android Erişilebilirlik Hizmeti Nedir?
Android erişilebilirlik hizmeti, çeşitli fiziksel engelleri dolayısıyla mobil cihazları ve dokunmatik ekranları kullanmak için ekstra düzenlemelere ve geliştirmelere ihtiyaç duyan görme engelli, işitme engelli ve ellerinin veya parmaklarının tamamını veya belirli bir bölümünü kullanma güçlüğü yaşayan insanların Android cihazları rahatlıkla kullanmalarını sağlamak için geliştirilmiş bir kolaylaştırıcı hizmettir.
Android erişilebilirlik hizmeti, metni konuşmaya dönüştürmek veya kullanıcının ekranda bir alan üzerine geldiğinde dokunsal geri bildirim üretmek gibi kullanıcıya alternatif gezinme geri bildirimleri sağlamak için tasarlanmıştır. Android 1.6 (API 4) ile Android’e entegre edilmiş olup, günümüze dek çeşitli iyileştirmeler yapılarak Android’in standart bir özelliği olarak kullanıcıların hizmetine sunulmaktadır. Bu işletim sistemi hizmeti etkinleştirildiğinde, diğer uygulamaların mevcut ekran içeriğini izlemesine belirli kısıtlamalar çerçevesinde izin vererek geliştiricilerin farklı erişilebilirlik özellikleri sağlayan uygulamalar oluşturmasına olanak tanımaktadır.
Erişilebilirlik Hizmeti neden Açıklara ve Gizli bilgilerin sızdırılmasına yol açmaktadır?
Android, geliştiricilerin yeni erişilebilirlik özellikleri oluşturmasına izin vererek, oturum açma ve şifre bilgileri gibi hassas bilgiler için klavyeyi ve ekranı izleyebilen kötü amaçlı yazılımların geliştirilmesinin de önünü açmış olmaktadır. Yani kısacası, maalesef erişilebilirlik hizmeti kullanılarak çok rahat ve kolay bir şekilde zararlı uygulamalara veri aktarmak mümkündür. Yakın zamanda Yanick Fratantonio tarafından yapılan bir araştırma, Android erişilebilirlik hizmetini etkinleştirme ve uyarı pencerelerini kontrol etme kombinasyonunun, kötü niyetli bir uygulamanın diğer uygulamaları kontrol etmesine nasıl yol açabileceğini göstermesi açısından önemlidir.
Mohammad Naseri*, Nataniel P. Borges Jr., Andreas Zeller, and Romain Rouvoy tarafından yayınlanan “Erişilebilirlik Sızıntıları, Android Erişilebilirlik hizmetinin potansiyel gizlilik sızdırmaları” adlı makalede, yalnızca erişilebilirlik hizmetinin açılmasının birçok uygulamayı zararlı uygulamaların tehditlerine açık hale getirdiği belirtilmekte, özellikle Play Store üzerindeki en çok kullanılan 50 finans uygulamasının ve en çok tercih edilen 50 sosyal medya uygulamasının, erişilebilirlik servisinin açılmasıyla tehditlere açık hale geldiği ifade edilmektedir.
Erişilebilirlik hizmeti, etkinleştirildikten sonra arka planda çalışmaya devam eder ve sistemdeki hemen hemen her yeri izler.
Bir cihazda erişilebilirlik hizmeti etkinleştirildiğinde, uygulamalar, erişilebilir işlevler sağlamak amacıyla, erişilebilirlik hizmetinden gelecek bildirimleri alabilmek için dinleyici olarak kendisini erişilebilirlik hizmetine kaydettirir, yani bir uygulamanın erişilebilirlik hizmetine bilgi gönderebilmesi ve erişilebilirlik sunabilmesi için, erişilebilirlik hizmetinin açılmasıyla yayınlanan tüm bilgilere erişimi bulunması gerekmektedir. Kullanıcı, zararsız fakat veri sızdırmalarına karşı açık bir uygulama ile etkilişimde bulunduğunda, erişilebilirlik hizmetini dinleyen, yani hizmetten bildirim almak için talep gönderen tüm uygulamalara söz konusu uygulamadaki işlemi bildirir. Daha açık ifade etmek gerekirse, herhangi bir uygulamada şifre girdiğimizde, erişilebilirlik sağlamak amacıyla erişilebilirlik hizmetini izleyen tüm uygulamalara bu şifre gönderilir.
Bir uygulama kendisini erişilebilirlik hizmetinden bildirim almaya kaydettirirken, belirli konfigürasyonlar, yani dinlemek istediği işlevleri bildirmek zorundadır. Örneğin uygulamanın özelliği tıklanan bağlantıları izlemekten ibaret ise, erişilebilirlik hizmeti bir bağlantı tıklandığında o uygulamaya bildirim gönderir, uygulama da işlem kendisiyle ilgili ise devreye girer. Tuşlara basılması, pencere içeriklerini izleme, metin içerik değişiklikleri, dokunarak keşfetmeyi takip etme ve gelişmiş web erişilebilirliği gibi işlevler söz konusu işlevleri izleyen dinleyici uygulamalara bildirilir. Zararlı bir davranış sergilemek isteyen herhangi bir uygulama, bu durumda bile ekran içeriği ve metin değişiklikleri gibi içerikleri elde ederek kullanıcının aleyhine kullanabilir, kötü niyetli kişi veya kurumlara gönderebilir. Bu konuyu örneklendirerek biraz daha ayrıntılı olarak ele alacak olursak, örneğin bir uygulamada şifreler veya kredi kartı bilgileri, hesap bilgileri veya diğer kişisel bilgilerin girilmesi gerektiği yazma alanları bulunduğunu farz edelim. Erişilebilirlik kullanıcısı, bir yazma alanına tıkladığında, söz konusu bilgileri ekran okuyucular gibi erişilebilirlik hizmeti sağlayan uygulamalar vasıtasıyla dolduracağından, girilen tüm bilgiler erişilebilirlik hizmeti tarafından yazma alanlarını izleyen tüm uygulamalarla paylaşılır. Bu noktada bankacılık müşteri numaraları veya şifreler gibi hassas bilgileri elde eden bir uygulama, bu bilgileri kötü niyetli kişi veya kurumlara ulaştırma potansiyeline sahiptir.
Yazının başında da söz edildiği üzere, “Erişilebilirlik Sızıntıları” adlı makalede, yazarlar milyonlarca kullanıcıya sahip olan yaklaşık 50 en popüler finans uygulamasını bir araç vasıtasıyla incelemiştir. Araştırma sonunda, bu uygulamaların 36 tanesinin, yüzde 72’si, bilgilerin erişilebilirlik hizmetleri yoluyla sızdırılmasına karşı korumasız olduğu anlaşılmıştır. Yine aynı makalede, 50 popüler sosyal medya uygulaması üzerinde yapılan incelemede, bu uygulamaların 40 tanesinin, yüzde 80’si, potansiyel bilgi sızıntısına karşı korumasız olduğu ortaya konmuştur. Bu uygulamaların tamamının, bir milyondan fazla indirilmiş olduklarını da burada belirtmeliyiz. Bu uygulamalar arasında, Google Pay, PayPal, Western Union gibi milyonlarca kullanıcıya sahip, son derece popüler uygulamalar bulunmaktadır.
Yine aynı makalede, yazarlar, 2018 Ocak ayı ve Nisan ayları arasında Play Store’a deneme amacıyla bir Keylogger (basılan tuşları takip ederek kaydeden bir uygulama) yüklediklerini, 4 aylık süreçte uygulamanın tehdit olarak bile algılanmadığından söz etmektedirler.
Jieshuo ve Advanced Braille Keyboard uygulamalarına ilişkin uyarılar
Jieshuo ekran okuyucu, 2018 yılından itibaren Çinli bir geliştirici tarafından geliştirilmekte olan bir ekran okuyucudur. Çinli geliştiricilerin Play Store’da uygulama yayınlamalarına izin verilmediğinden dolayı, Jieshuo uygulaması Play Store üzerinden indirilememektedir. Geliştirici uygulamanın kodlarını Github üzerinden paylaşmakta ve güncellemektedir. Uygulama geliştiricinin uygulama üzerinden yaptığı güncellemeler yoluyla, Github sayfasından ve kullanıcıların birbirleriyle paylaşmaları yoluyla elde edilebilmektedir. Jieshuo ekran okuyucunun, temel ekran okuyucu özelliklerinin ücretsiz kullanılabildiği ücretsiz sürümü, birçok kullanıcı için yeterli işlevleri sağlamaktadır. Bununla birlikte ekran okuyucu, geliştirilmiş hareket paketleri, optik metin tanıma, bulut yedeği gibi birçok işlevi premium olarak sunmakta olup, yıllık, 2 yıllık ve 3 yıllık olmak üzere 3 tip premium lisans sunmaktadır. Ancak yukarıda da belirtildiği üzere, uygulamanın temel özellikleri, ekran okuyucu olarak kullanmak için gayet yeterlidir ve ücretsiz olarak kullanılabilmektedir. Jieshuo uygulamasının ücretsiz sürümü, herhangibir zararlı yazılım veya tehdit içermemektedir. Şu anda Türkiye’de ve dünyanın dört bir yanında binlerce görme engelli kullanıcı tarafından kullanılmaktadır ve zarar veya tehdit içerdiğine yönelik herhangibir bilgi paylaşılmamıştır. Premium lisansa ücret ödemek istemeyen insanlar, uygulamanın premium özelliklerinin kullanılabilmesi için bazı geliştiricilere, crack uygulama yapan niyetleri bilinmeyen kişilere başvurmaktadırlar. Söz konusu uygulamanın bir ekran okuyucu olması, kişilerin tüm hassas bilgilerine erişebiliyor olması, bu tür niyetleri belli olmayan crackçilerin iştahlarını kabartmaktadır. Zira ekran okuyucuyu kullanan herkesin banka hesapları, kimlik bilgileri, şifreleri gibi hassas bilgilerinin ele geçirilmesi için, bir ekran okuyucu tam da biçilmiş kaftandır. Premium özellikleri denemek isteyen birçok görme engelli Android kullanıcısı da, bu tür crack uygulamalara gözü kapalı atlamakta, potansiyel tehlikeleri akıllarına getirmeden telefonlarına kurmaktadırlar. Bu crackçiler, belirli yöntemler kullanarak 20mb boyutundaki uygulamayı 14mb boyutuna indirmektedirler. Hatta bir tanesi Jieshuo ayarlarına her girildiğinde kendi Telegram grubu ve kanalına yönlendiren butonlar bile eklemiştir. Yine özellikle son zamanlarda bankacılık uygulamalarında Jieshuo ile sorun yaşadığını belirten insanların sayısı da artmıştır. Bu tür sorunlarla karşılaşanların crack Jieshuo kullandıklarının şüphe götürmez bir gerçek olduğuna inanmaktayım. Özellikle belirli banka uygulamalarında kişilerin hesaplarının telefonda zararlı yazılım algılanması sonucu banka tarafından kısıtlandığını okumaktayız. Bankadan arayan yetkililer özellikle Jieshuo uygulamasının ismini vermektedirler. Yukarıda da belirttiğimiz üzere, Jieshuo uygulamasının standart ücretsiz sürümü herhangibir tehlikeli öğe veya zararlı yazılım içermemektedir. Ancak Premium adı altında paylaşılan crack uygulamalar her türlü tehlike, tehdit ve zarar içerme potansiyeline sahiptir. Nitekim yukarıda sözü edilen bankalarla sorun yaşayan kullanıcıların da crack sürüm kullandıkları bilinmektedir. Camiamızda crack denince akan suların durduğundan haberdarız. Ancak, söz konusu olan kişisel bilgilerimiz, banka hesap bilgilerimiz, şifrelerimiz, kredi kartlarımız olunca lütfen o akan suları durdurmayalım, bırakalım akıp gitsinler… Yıllık 250-300 TL ödemekten kaçıp crack kullanarak banka kartlarımızın, kredi kartlarımızın boşaltılması gibi hiç istenmeyen sonuçlarla karşılaşmak istemeyiz dediğinizi duyar gibiyim sanki. Yine camia olarak, crack kullanmayı bir marifetmiş gibi sunmayı da çok iyi biliyoruz. Bu konudan bahsederken kendimi dışarıda bıraktığımı düşünmeyin. Zira ben de bu camiadanım ve benim bu camianın davranış kalıpları dışına çıktığımı düşünmenizi istemem. Hepimiz zaman zaman crack uygulamalar kullanmaktayız. Bunun kendimizce belirli gerekçeleri de vardır mutlaka. Ancak ekran okuyucular, ses sentezleyicileri ve klavyeler gibi uygulamalar bilgi sızdırma konusunda en önde gelen uygulamalardır ve bu yazı bu tür tehlikelere karşı okuyucularımızı uyarmak için yazılmıştır.
Advanced Braille Keyboard uygulaması da, görme engellilerin ekrana parmaklarını yerleştirerek Braille olarak yazmalarını sağlayan bir klavye uygulamasıdır. Bu uygulamayı crack olarak kullanmak, bir erişilebilirlik hizmeti kullanması ve tam ekranda veri girmesi nedeniyle, yukarıda belirtilen veri hırsızlığına tamamen açık hale gelmemizle sonuçlanabilir. Bu nedenle, Advanced Braille Keyboard uygulamasını Play Store üzerinden satın alarak kullanınız. Zaten ücreti sadece 20 liradır. Bugün bir paket sigara bile 20 liranın üzerindedir.
Özel olarak bizler için geliştirilen uygulamaların crack sürümlerinin büyük zararlara yol açma potansiyellerinin yanında, bizlerin bir minnet göstergesi olarak bu geliştiricileri desteklememiz gerekmektedir. Uygulama yazmak, hataları gidermek, gerekli iyileştirmeleri yapmak oldukça zor ve yorucu bir iştir. Geliştiriciler bu işler için aylarını, hatta yıllarını harcamaktadırlar. Ortada verilen çok büyük emekler olduğu da inkar edilemez bir hakikattir. Bu nedenle, onların emeklerini takdir etmek, yaptıklarına teşekkür etmek için elimizden geldiği kadar onları desteklemeli, uygulamalarını satın alarak da bu desteğimizi göstermeliyiz. Bu şekilde onları daha da fazla çalışmak ve daha güzel özellikler ortaya koymak için teşvik etmiş oluruz.
Bir çoğumuz, bir zamanlar ücretli olarak sunulan, ancak kullanıcılar tarafından satın alınmayarak crack sürümleri kullanıldığı için uygulama mağazalarından kaldırılan uygulamaları mutlaka biliyoruzdur. Bu uygulamalar, camia desteği bulamamışlar, herkes bu uygulamaların crack sürümlerini kullanmaya yönelmiştir. Haliyle geliştiriciler uygulama için yapılan masrafların ve verilen emeğin karşılığını alamadıkları için, bu uygulamaları mağazalardan kaldırmışlardır.
Sonuç olarak erişilebilirlik, bizler için olmazsa olmaz bir özelliktir. Bu özellik yazımızda da belirtildiği üzere, belirli kötü niyetli yazılımlara, zararlı içeriklere, tehditlere ve güvenlik sızıntılarına karşı potansiyel açıklar içeriyor olsa dahi, resmi yollardan paylaşılan, zararlı olmadıklarını bildiğimiz uygulamaları kullanarak bu tehlikelere karşı kendimizi korumaya alabiliriz. Resmi yollarla paylaşılmayan, hangi niyetle ve kimler tarafından geliştirildiği bilinmeyen uygulamaları kullanmaktan ve kötü niyetli kişiler tarafından geliştirilmiş olma ihtimalleri yüksek olan ve tehlike ve tehditlere karşı bizi ve cihazımızı savunmasız bırakan, banka hesaplarımız, kredi kartlarımız ve kişisel bilgilerimiz gibi gizli verilerimizin başkalarının eline geçmesine yol açabilecek crack uygulamaları yüklemekten ve kullanmaktan elimizden geldiğince kaçınmalıyız. Geçen hafta haberlerde okuduğumuz üzere, en önemli banka uygulamalarında bile açıklar olabilmektedir. Haberlerde anlatıldığı üzere, 2 kişi bir bankanın uygulamasından 16 milyar tl tutarındaki bir meblağı kendi hesaplarına aktarmışlar. Bu da göstermektedir ki, hangi işletim sistemi olursa olsun, uygulamalar da ne kadar fazla güvenlik önlemi ile donatılırsa donatılsın, söz konusu açıklar her zaman olabilir ve böyle istenmeyen durumlarla hepimiz her an karşılaşabiliriz. Bu nedenle, her türlü gizlilik bilgilerinin bir açığa kurban gitme ihtimalinin bulunduğu günümüzde, güvenliğimizi mümkün olan en üst düzeyde tutmaya gayret göstermeliyiz. En azından, potansiyel tehlike ve tehdit içerdiğini bildiğimiz, erişilebilirlik hizmetini kullanan ekran okuyucular ve klavyeler gibi uygulamaların crack sürümlerinden sakınmalıyız.
Yorumlar