Yeni bir uygulamayı kullanmaya başladığınızda genellikle uygulama izinleri incelenmeden onaylanır. Ancak bunları körü körüne kabul etmek sizi ciddi gizlilik ve güvenlik risklerine maruz bırakabilir. Bunu daha yakından inceleyelim.
Uygulama izinleri, uygulamalarınızın hangi tür verilere ve cihazlara erişebileceğini belirleyen, neredeyse görünmez bir nöbetçi gibidir. Yeni bir uygulama indirdiyseniz veya yeni bir özelliği etkinleştirdiyseniz muhtemelen bir izin istemi ile karşılaşmışsınızdır. Ancak kaçımız düşünmeden, dalgın bir şekilde “izin ver” seçeneğine tıklamışızdır?
Bazı izinler uygulama için uygundur. Ancak bazıları (kasıtlı olarak veya değil) kesinlikle gerekli olan sınırları aşabilir. Diğerleri ise tamamen kötü niyetli olabilir. Hangilerini kabul edip hangilerini engelleyeceğinizi anlamak önemlidir.
Uygulama izinleri ne işe yarar?
Uygulama izinleri açılır penceresi, esasen mobil işletim sisteminiz ile sizin aranızdaki bir diyalogdur. Bu pencere, yeni bir uygulamanın belirli verilere veya özelliklere erişmek istediğini size bildirir. Ve uygulamanın bunu yapması için onayınızı (izin) ister. Bu istekler eskiden kurulum öncesinde gelirdi. Ancak modern iOS sürümleri, uygulamayı ilk kez kullanmaya başladığınızda çalışma sırasında izin istemleri gösterir. Android her ikisini de yapar ve yalnızca düşük riskli izinler için kurulum sırasında istemler gösterir.
Android 6.0’dan itibaren izinler iki kategoriye ayrılır: İnternet erişimi gibi normal izinler, kurulum sırasında kullanıcıya herhangi bir uyarı gösterilmeden sessizce verilir; konum, mikrofon veya kişiler gibi tehlikeli izinler ise çalışma sırasında (ilgili özelliği ilk kez kullanmaya çalıştığınızda) kullanıcı tarafından açıkça onaylanmalıdır. Yeni sürümlerde, ayrı veya çok adımlı onay akışları gerektirebilen arka plan konum ve bildirimler gibi ek izinler de eklenmiştir. iOS, tüm hassas izinleri çalışma zamanında benzer bir şekilde gösterir.
Geliştiriciler için izinler, kullanıcılara sorunsuz ve zengin özellikli deneyimler sunmanın kritik bir yoludur. Bir uygulama, cihaz verilerine/işlevlerine her kullandığında erişim izni istemek zorunda olsaydı neredeyse kullanılamaz hâle gelirdi.
Hem iOS hem de Android, son yıllarda uygulamalara aşırı ayrıcalıklar vermenin risklerini azaltan anlamlı yerleşik korumalar getirmiştir. Ancak uygulama izinleri konusunda nihai karar genellikle size aittir.
Uygulama izinleri tehlikeleri nelerdir?
Kötü niyetli olsun ya da olmasın, bazı uygulamalar ihtiyaç duyduklarından daha fazla erişim izni ister. Örneğin, rehberinize erişim izni isteyen bir mobil oyun veya mikrofonunuza ve kameranıza erişim izni isteyen bir hesap makinesi uygulaması düşünün.
Düşünmeden izinleri onaylayarak, kötü niyetli geliştiricilerin akıllı telefonunuzdaki hassas verilere (takvim, mesajlaşma uygulamaları, SMS, dosyalar ve depolama alanı, kişiler, arama kayıtları, konum, mikrofon ve kamera vb.) erişmesine olanak sağlayabilirsiniz. Teorik olarak, siz yazarken ekranınızı bile okuyabilirler. Bu erişimle şunları yapabilirler:
- En hassas hesaplarınızın (ör. çevrimiçi bankacılık) parolalarını toplayabilir,
- Tek kullanımlık SMS parolalarını ele geçirebilir,
- Cihazınızı yüksek ücretli abonelik hizmetlerine kaydettirebilir,
- Dijital yaşamınızın bir resmini oluşturup reklamcılara satabilir,
- Konumunuzu izleyerek fiziksel güvenliğinizi tehlikeye atabilir,
- Kamerayı/mikrofonu açarak akıllı telefonunuzu dinleme cihazına dönüştürebilir,
- Dosyalarınızı şifreleyip ve fidye için elinde tutabilir,
- Cihazınıza kötü amaçlı yazılım yükleyebilir (ör. bilgi hırsızları, fidye yazılımları).
Yapay zekâ asistan uygulamaları (böyle davranan uygulamalar da dâhil) özellikle dikkat edilmesi gereken, giderek artan bir izin riski oluşturmaktadır. Birçoğu, uyandırma kelimesini algılamak için her zaman açık mikrofon erişimi ayrıca kişiler, takvim ve bazı durumlarda ekran içeriği erişimi talep eder. Yapay zekâ uygulamalarına diğer kategorilerle aynı titizlikle yaklaşın. Sağlık ve fitness verileri, bir başka göz ardı edilen risk unsurudur. Sağlık verilerinize erişimi olan uygulamalar, bu verileri gerçek dünyada sonuçları olan şekillerde paylaşabilir veya satabilir; bu durumun sigorta ve veri aracılığı gibi alanlarda etkileri olabilir.
2023 yılında aldatıcı bir kredi uygulaması tarafından talep edilen izinler (kaynak: ESET Research)
Hangi uygulama izinleri alarm zillerini çaldırmalıdır?
Uygulama izinleri bağlama bağlıdır. Bir uygulamanın kullanıcıların beklediği deneyimi sunmak için talep ettiği izinler, başka bir uygulamanın ihtiyaç duyduğu izinlerden çok farklı olabilir. Ancak her zaman dikkat edilmesi gereken belirli izinler vardır. Bunlar arasında şunlar yer alır:
- Erişilebilirlik hizmetleri: “Tanrı modu” olarak da bilinen bu izin, kötü niyetli geliştiricilerin yazdıklarınızı görmesine, mesajlarınızı okumasına ve siz farkında olmadan gizlice kendine başka izinler vermesine olanak tanıyabilir. (Bu izin iOS’ta doğal olarak mevcut değildir. Yeni Android işletim sistemi sürümleri, Play Store dışında yüklenen uygulamaların bu izni talep etmesine izin vermeyecektir. Ayrıca birkaç haftada bir bu izni vermeye devam etmek isteyip istemediğinizi kontrol edecektir.)
- Arka plan konumu: Bu, kötü niyetli bir kişinin gittiğiniz her yerde cihazınızı izlemesine ve günlük hayatınızın ayrıntılı bir resmini oluşturmasına olanak tanıyabilir. (Not: Bu riski azaltmak için Android ve iOS önceden “her zaman izin ver” seçeneğini etkinleştirmez ve periyodik olarak “her zaman izin ver” izlemeyi sürdürmek istediğinizi onaylamanızı ister).
- SMS/arama günlükleri: Çok az sayıda uygulama, metin mesajlarınıza ve arama geçmişinize erişime ihtiyaç duyar. Bunu yaparak, bir bilgisayar korsanı tek kullanımlık parolalarınızı okuyabilir ve hesaplarınızı ele geçirebilir. (Not: Bir uygulamanın Android’de bu izinleri istemesi için önce o işlev için Varsayılan Uygulama olarak kaydedilmesi gerekir. iOS, App Store’dan indirilen hiçbir uygulamanın “SMS’leri Oku” veya “Arama Geçmişini Gör” iznini talep etmesine izin vermez.)
- Üstüne yerleştirme izni: Bir uygulamanın, kullandığınız başka bir uygulamanın üzerine bir “pencere” açmasına izin verir, bu da “tıklama hırsızlığı” saldırılarına olanak sağlayabilir. (Not: Android, kullanıcıların bunu Ayarlar > Uygulamalar > Özel Uygulama Erişimi > Üstte görün seçeneğinden açıkça etkinleştirmesini gerektirir. iOS’ta benzer bir izin yoktur).
Güvenli bir şekilde yönetim
İzin vermeden veya engellemeden önce, söz konusu uygulamanın çalışması için izin gerekli olup olmadığını her zaman değerlendirin.
Bir başka iyi kural da yalnızca “bir kez izin ver” veya “kullanım sırasında izin ver” seçeneğini kullanmaktır. Yalnızca “Find My” gibi güvenlik uygulamaları 7/24/365 erişime sahip olmalıdır.
Birçok uygulamada izinlerinizi düzenli olarak gözden geçirmeniz istenir. Ancak izinleri proaktif olarak denetlemek iyi bir fikir olabilir. Bunun için şunları yapabilirsiniz:
iOS
- Ayarlar > Gizlilik ve Güvenlik‘e gidin.
- En alta kaydırın ve Uygulama Gizlilik Raporu’na dokunun (veya açın).
- Bu, hangi uygulamaların verilerinize ne zaman eriştiğini gösterir.
Alternatif olarak:
- Ayarlar > Uygulamalar‘a gidin.
- Belirli bir uygulamayı seçin (ör. Instagram).
- Tüm açma/kapama düğmelerinin (Kamera, Mikrofon, Kişiler) bir listesini göreceksiniz. Gerekli olmayan her şeyi kapatın.
Android
- Ayarlar > Güvenlik ve Gizlilik > Gizlilik > Gizlilik Panosu‘na gidin.
- Son bir hafta içinde sensörlerinizi kullanan tüm uygulamaların zaman çizelgesini görmek için 7 Günlük Görünüm’e (sağ üst menü) dokunun. (Bu adımlar tüm Android cihazlarda aynı olmayabilir, bu nedenle kontrol edin.)
- Saat 3:00’te mikrofonu kullanan bir uygulama görürseniz uygulamaya dokunarak erişimi hemen iptal edin.
Alternatif olarak (navigasyon yolları Android sürümlerine göre değişiklik gösterebilir):
- Ayarlar > Uygulamalar > [Uygulama Adı]‘na gidin.
- “Kullanılmadığında uygulamayı yönet” (veya “Kullanılmadığında uygulama etkinliğini duraklat”) seçeneğinin AÇIK olduğundan emin olun.
- Uygulamayı birkaç ay kullanmazsanız Android otomatik olarak izinlerini kaldırır, geçici dosyaları siler ve bildirimleri durdurur.
Her şeyden önce, yalnızca güvenilir mağazalardan (Google Play/App Store) uygulama indirin. İndirmeye karar vermeden önce uygulamaların yorumlarını okuyun. Saygın bir güvenlik sağlayıcısından bir mobil güvenlik çözümü yüklemeyi düşünün.
Güvenliğinizi koruyun!
Çocuklar selfie paylaşırken risklerin farkında mı?
