Nöbetçi Eczaneler
HGS ve Anadolu Sigorta’nın mobil uygulamalarında yapılan güvenlik incelemelerinde, yalnızca bildirim gönderim sistemine yönelik bir zafiyet olduğu ortaya çıktı. Siber güvenlik uzmanlarının analizlerine göre, sorunun kaynağı “push notification” işlemlerini gerçekleştiren OneSignal kütüphanesinin API anahtarlarının güvenli bir şekilde saklanmamasıydı.
API anahtarlarının mobil uygulamalara sabitlenmiş (hard-coded) bir şekilde yerleştirildiği tespit edildi. Bu durum, saldırganların uygulamaları decompile ederek veya bir tool(program) geliştirerek anahtarları ele geçirmesine yol açtı. OneSignal geliştiricilerinin API dokümantasyonunda, bu tür anahtarların mutlaka sunucu tarafında saklanması gerektiğine dair uyarılarda bulunduğu belirtiliyor. Ancak bu kılavuzlara uyulmaması, güvenlik açığına sebep oldu.
Uzmanlar, kurumların mobil uygulama geliştirme süreçlerinde API anahtarları ve diğer hassas bilgilerin güvenli yöntemlerle saklanmasına özen göstermesi gerektiğini vurguladı. Aksi halde bu tür zafiyetlerin, sistemlerin kötü niyetli kişiler tarafından manipüle edilmesine olanak tanıyabileceği ifade ediliyor.
CUMHA – CUMHUR HABER AJANSI