Hindistan hükümetinin akıllı telefon üreticilerinin devlet tarafından işletilen bir siber güvenlik uygulamasını önceden yüklemesini talep etme teklifi, vatandaşlara telefon hırsızlığına karşı ekstra koruma sağlayabilirdi, ancak uzmanlar bunun ciddi gizlilik risklerine de kapı açtığını söylüyor. Plan, halkın tepkisine yol açarak Hindistan’ın Sanchar Saathi uygulamasının zorunlu kullanıma sunulmasını geri çekmesine yol açtı.
Two99’un Kurucusu ve CEO’su Agam Chaudhary, Khaleej Times’a, uygulamanın asil niyetleri olsa da, ele alınma biçiminde sorunlar olduğunu açıkladı. “Önceden yüklenmiş uygulamalar genellikle arka planda sessizce çalışır” dedi. “Kullanıcılar onları hiç istemediler ve yine de ayrıcalıklı erişime sahip cihazda kalıyorlar. Bu, gizli veri toplama riskleri ve kullanıcının iptal edemediği sistem düzeyinde bir kontrol oluşturur. Siber güvenlikte kontrol güvenliğe eşittir. Bir kullanıcının kendi cihazı üzerinde ne kadar az kontrolü olursa, ekosistem o kadar kırılgan hale gelir.”
Başka bir uzmana göre, uygulamanın yüklenmesini zorunlu kılmamak “doğru çağrı” idi. CREDO Technology Services ‘in Kurucusu ve CTO’su Obaidullah Kazmi, ”Sanchar Saathi, vatandaşları SIM dolandırıcılığından, çalınan telefonlardan ve artan dolandırıcılık çağrılarından korumaya yönelik yararlı bir adımdır.” dedi. “Ancak bu tür hassas verileri işleyen güvenlik araçları şeffaflık ve güven üzerine kurulmalıdır. Uygulamayı zorunlu kılmak için yapılan kısa hamle, anlaşılabilir bir kamuoyu endişesi yarattı ve bu kararı geri çekmek doğru karardı.”
Hindistan Telekomünikasyon Bakanlığı tarafından başlatılan Sanchar Saathi, kullanıcıların kaybolan veya çalınan telefonları engellemelerine, bir mobil cihazın orijinal olup olmadığını kontrol etmelerine ve adlarına kayıtlı SIM kartları belirlemelerine yardımcı olmak için tasarlanmıştır. Platform, SIM ile ilgili sahtekarlığı engellemek ve mobil kimlik hırsızlığına bağlı siber suçları azaltmak için ulusal telekom veritabanlarıyla bütünleşir.
İzinler
Beyondtrust’un Baş Güvenlik Danışmanı Morey Haber, uygulamanın arama kayıtlarına erişim, kayıt sırasında SMS mesajı gönderme izni, kameraya ve depolanan görüntülere erişim ve telefon durumuna ve cihaz depolama alanına erişim dahil olmak üzere geniş bir izin seti gerektirdiğini açıkladı.“Aramalara, sms’lere, depolamaya ve ağ bağlantısına erişimi olan herhangi bir uygulama, gizlilik politikası daha dar bir kullanımı açıklasa bile zengin meta verileri gözlemleyebilir ve üretebilir” dedi. “Bu sorun TikTok gibi birçok sosyal medya uygulaması için tartışma konusu oldu.”
Acronis tru’nun Baş Güvenlik Araştırmacısı Syed Aizad, bir uygulama yükleme kararının kullanıcıya ait olması ve zorunlu olmaması gerektiğini ekledi. “Kullanıcı özerkliği, gizlilik hakları ve en iyi güvenlik uygulamaları gönüllü kurulum gerektiriyor” dedi. “Zorunlu uygulamalar güvenlik riskleri yaratır, güveni azaltır ve kullanıcı kontrol ilkelerini ihlal eder.
Uygulamayı indirmek isteyip istemedikleri artık Hindistan vatandaşlarına ve sakinlerine kalmış.Telekom bakanlığına göre şu ana kadar 14 milyon kullanıcı uygulamayı indirerek günlük 2.000 dolandırıcılık bildirdi.
Riskler
Uzmanlar, endişenin uygulamanın kendisinin fikri değil, gerekli erişim düzeyi ve önceden kurulmuşsa kötüye kullanım potansiyeli olduğunu söylüyor.Morey, sistemin arama bilgilerini, telefon numaralarını ve SMS içeriğini toplayabilen ve iletebilen, ağ bilgilerinden konum türetebilen ve cihaz tanımlayıcılarını okuyabilen ve birden fazla numarayı veya cihazı diğer kuruluşlarla ilişkilendirebilen üçüncü taraflar tarafından potansiyel olarak kötüye kullanılabileceğini söyledi. ”Bir uygulama ayrıcalıklı veya sistem uygulaması olarak gönderilirse, risk artar, çünkü normal mağaza uygulamalarının yapamayacağı yüksek izinler alabilir ve trafiği son kullanıcıların izlemesi veya engellemesi daha zor olabilir” dedi. “Bu, Sanchar Saathi’nin şu anda bunu yaptığını kanıtlamıyor, ancak teknik potansiyelin var olduğu ve yalnızca hükümet güvenceleriyle değil, tasarım, yasa ve bağımsız gözetim tarafından kontrol edilmesi gerektiği anlamına geliyor.”
iTAG Technologies’in Kurucusu / CEO’su Abu Bakker, uygulamayı önceden yüklemenin neden büyük bir risk olduğunu açıkladı. “Üreticiler veya taşıyıcılar genellikle bu uygulamaları sistem bölümüne yükleyerek normal uygulamaların sahip olmadığı ayrıcalıklı erişim sağlıyor” dedi. “Ek olarak, bu uygulamalar genellikle Google Play veya Apple App Store gibi uygulama mağazalarının sıkı güvenlik kontrollerini atlar. Önceden yüklenmiş uygulamalar genellikle bir cihazın güvenlik zincirindeki en zayıf halkadır. İşletim sistemi tarafından varsayılan olarak güvenildikleri için “Truva Atı” gibi davranabilirler.” Bir bilgisayar korsanı önceden yüklenmiş bir uygulamadan ödün vermeyi başarırsa, cihazı koruyan olağan güvenlik önlemlerini atlayarak üst düzey ayrıcalıklarını devralır.”
Agam, tarihsel olarak geniş çapta konuşlandırılmış, derinlemesine entegre edilmiş herhangi bir uygulamanın siber suçlular için yüksek değerli bir hedef haline geldiğini de sözlerine ekledi. “Bir güvenlik açığı keşfedilirse, bir kişiyi veya bir mahalleyi etkilemez” dedi. “Bütün bir ulusun aygıtlarını tek bir taramada vuruyor. Tehdit aktörleri her zaman en kolay yolu ararlar. Yüksek haklara sahip zorunlu bir sistem uygulaması bu yol olabilir.”
