İçeriğe geçmek için "Enter"a basın

Google Sonunda Gerçek Bir Önlem Aldı

Üçüncü taraf Android uygulamalarına dikkat etmeniz gerektiğini hatta Google Play Store’dan indirme işlemi yaparken bile dikkatli olmanız gerektiğini muhtemelen zaten biliyorsunuz ancak Chrome eklentilerini indirirken de dikkatli olmanız gerektiğini biliyor musunuz?

Bu küçük ve kullanışlı eklentiler ile kişiselleştirdiğimiz Chrome tarayıcımız tek bir tıklama ile pek çok farklı uygulamaya erişmemizi hatta password manager gibi tüm parolalarımızı sakladığı için ekstra önem taşıyan uygulamaları bile kolayca açabilmemizi sağlıyor.

Malesef, Android uygulamaları gibi bu Chrome eklentileri de zaman zaman zararlı yazılım barındırabiliyor ve resmi Chrome Web Mağazasını kullansanız dahi bu durum başımıza gelebiliyor.

Google’ın geçen yıl yaptığı bir açıklamada zararlı yazılım barındıran eklentilerin sayısının geçtiğimiz 2.5 yılda %70 oranında azaldığı söylenmişti ancak yapılan araştırmalar sonucunda bu durumun gerçeği yansıtmadığı ve kullanıcılar için riskin devam ettiği de ortaya çıkmıştı.

Yalnız Google Chrome değil, diğer tarayıcılarda da aynı risk bulunuyor ama pazar payının %60’ına sahip olduğu için genellikle Chrome kullanıcıları siber suçlular için birincil hedef durumunda.

2018 yılında yapılan bir araştırmada 4 tane zararlı yazılım içeren uzantının toplamda 500.000’den fazla indirildiği tespit edildi. Bu uzantılar “yapışkan notlar” veya “küçük yer imleri” gibi isimlerin ardına gizlenerek zararlı yazılım dağıtıyordu. Bu eklentilerin, kullanıcının tıklaması ile dolandırıcılık yaptığının anlaşılmasının üzerine Google tarafından kaldırılmıştı.

Google Chrome ürün müdürü James Wagner yaptığı açıklamada ekibin eklentilerin bulunduğu ekosistemi güvenli hale getirmek için elinden gelen tüm gayretle çalıştığını söylemişti ancak tüm gayretlere rağmen zararlı yazılım kampanyaları düzenli olarak devam etti.

Oltalama saldırıları veya istismar edilmiş siteler ile olduğu gibi, Chrome eklentilerini zararlı yazılım haline getirme tekniklerini bulan siber suçlular, bu eklentileri uzaktan erişim sağlamak veya diğer kötü amaçlarına alet etmek için kullanıyor. 2018 yılında bulunan ve Whatsapp kullanıcılarını hedefleyerek tüm kullanıcı verilerini (kullanıcı adı ve parolaları) çalan “Catch-All” adlı bir uzantı bunlara iyi bir örnek.

SONUNDA GOOGLE GERÇEK BİR ÖNLEM ALDI

Chrome eklentileri ile ilgili yaşanan pek çok tatsız olaydan sonra (kullanıcı verilerinin, finansal bilgilerin çalınması olayları ve zararlı yazılım dağıtan Chrome uygulamalarının yarım milyon insan tarafından indirilmesi gibi olaylar), Google sonunda bu küçük ve kullanışlı eklentilerin daha güvenli hale getirilmesi için sıkı politikalar uygulayacağına dair bir açıklama yaptı.

Bu politikalar esasında üçüncü taraflara geliştirdikleri eklentilerin daha güvenli olması için baskı niteliğinde.

Geçtiğimiz Ekim ayında Google+ yaşadığı veri ihlali sonrası kapatılmış ve Google “Project Strobe” isimli bir denetim projesi başlatmıştı. Bu yılın sonlarına doğru ise eklenti geliştiricilerin yalnız ihtiyaç duyduğu kadar (ve minimum) kullanıcı bilgisine erişebileceği bir politikayı devreye sokuyor. Aynı zamanda gizlilik politikalarında yapılan değişiklik ile tüm eklenti geliştiricilerin bir “gizlilik politikası” yayınlaması isteniyor.

Project Strobe ayrıca eklenti geliştiricilerinin Gmail verilerine erişimini daralttı ve Google, bu üçüncü tarafların Google Drive’a erişimini kısıtlamak için politikalarını genişletti.

Google bu değişiklikleri şimdiden duyurarak eklenti geliştiricilerinin yeni düzenlemelere uygun hale gelebilmesi için zaman tanıdığını, bu politikaların ise yıl sonunda devreye sokulaacağını belirtti.

Her ne kadar Google güçlü hesap güvenliği sağlaması ile tanınsa da, Android ve Chrome’un açık ekosistemi bu duruma engel olabiliyor. Üçüncü taraf uygulama geliştiricilerin, güvenliği ön plana alarak çalışma yürütmemesi her daim kullanıcı verileri için potansiyel bir risk. Kötü niyetli geliştiriciler, zararlı yazılım içeren uygulamalarını Google Play’de gizlemek için bu açık sistemden yararlanabiliyor.

Duyurulan son politikalar ile Chrome eklentilerinin rahatlıkla kullanıcı verilerini ele geçirmesinin önüne geçilmesi bekleniyor. Güvenlik politikalarının uygulanmaya başlanması, uygulama veya eklenti geliştiricileri daha dikkatli olmaya zorlayarak ne miktarda veriye ihtiyaç duydukları ve bu verileri nasıl koruyacakları konusunda bir açıklama yapmaya mecbur bırakacak. Böylece aynı rehbere erişmek isteyen el feneri uygulaması gibi, gereksiz pek çok verimize erişim sağlamaya çalışan Chrome eklentilerinin de önüne geçilmiş olacak.

Project Strobe Güncellemesi: Google Chrome ve Google Drive için yeni politikalar

Google’ın resmi olarak yaptığı açıklama şöyle:

“Üçüncü taraf uygulamalar ve web siteleri, milyonlarca insanın iş yapabilmesini ve çevrimiçi deneyimlerini özelleştirmek için kullandığı hizmetleri yaratıyor. Bu ekosistemi başarılı kılmak için, kullanıcıların verilerinin güvende olduğundan emin olmaya, geliştiricilerin ise açık kurallara ihtiyacı var. Bu nedenle geçen yıl, Google hesabınıza ve Android cihaz verilerinize üçüncü taraf geliştirici erişiminin kök incelemesi olan Project Strobe’i duyurduk.

Araştırmalarımız sonucunda verilerinizi daha iyi koruyabilmek için Gmail ve Android’de yeni politikalar geliştirdik. Örneğin, Android uygulamaları için SMS ve Arama Günlüğü izinlerinde yapılan değişikliklerle, bu hassas bilgilere erişimi olan uygulamaların sayısı yüzde 98’den daha fazla azalmıştır. Bu uygulamalar, yalnızca daha az hassas verilere erişen izinlere geçerek veya uygulamalarındaki küçük işlevleri ortadan kaldırarak insanlara temel hizmetler sunmaya devam edebildiler.

Project Strobe ile birlikte ilave edilen ve Chrome uzantıları ile Driver API’yi de kapsayan yenilikler şöyle:

Güvenli Chrome uzantıları

Chrome Web Store’da 180.000’in üzerinde uzantı mevcut ve Chrome desktop kullanıcılarının neredeyse yarısı Chrome’u kişiselleştirmek ve internetteki çevrimiçi deneyimlerini iyileştirmek için aktif olarak bu uzantılardan faydalanıyor. Bu iyileştirme ve kişiselleştirme deneyimi ise Chrome tarayıcısının geliştiricilerine bağlı.

Geçen Ekim ayında, tüm Chrome uzantılarının varsayılan olarak güvenilir olmasını sağlama niyetimizi paylaştık. Bugün, Project Strobe’ın bir parçası olarak, bu çabaya ek Chrome Web Mağazası politikalarıyla devam ediyoruz.

Özellikle:

1. Eklentilerin yalnızca özelliklerini çalıştırmak için gereken verilere erişmesini talep etmesini istiyoruz. Bir özelliği uygulamak için kullanılabilecek birden fazla izin varsa, geliştiriciler izni en az veriye erişimle kullanmak zorundadır. Bu her zaman geliştiricilere önerilmiş olsa da, şimdi bunu tüm eklentiler için bir zorunluluk haline getiriyoruz.

2. Daha fazla sayıda eklentinin (kişisel iletişimleri ve kullanıcı tarafından sağlanan içeriği yöneten uzantılar da dahil olmak üzere) gizlilik politikalarını yayınlamasını istiyoruz.

Bundan önce yalnız kişisel ve hassas kullanıcı verilerini işleyen eklentilerin bir gizlilik politikası yayınlaması ve bu verileri güvenli bir şekilde saklaması gerekiyordu. Şimdi ise bu kategoriyi, kullanıcı tarafından sağlanan içeriği ve kişisel iletişimleri yöneten eklentileri içerecek şekilde genişletiyoruz. Elbette, eklentilerin, kullanıcı verilerinin nasıl işlendiğine, bu verilerin nasıl toplandığına, kullanımına ve paylaşıldığına dair açıklamalarında şeffaf olmaya devam etmesi gerekiyor.

Eklenti geliştiricilerine, geliştirdikleri eklentilerin bu politikalara uygun olmasını sağlamak için gereken zamanı vermek üzere resmi politika yayımı öncesinde bu duyuruyu yapıyoruz. Geliştiriciler, SSS bölümümüzde bu değişiklikler hakkında daha fazla bilgi edinebilirler.

Drive API’nin sıkılaştırılması

Geçen sonbaharda, Gmail verilerinize erişmek isteyen uygulamalar için ek yönergeler ve kısıtlamalar sağlamak üzere kullanıcı veri politikamızı güncelledik. Bugün, aynı politikayı Google Drive’a genişletme planlarını duyuruyoruz; bu, üçüncü taraf uygulamaların Drive’da hangi verilere erişebileceği konusunda size daha fazla kontrol sağlayacaktır.

Üçüncü taraf uygulamaları bağladığınızda, Drive size tüm dosyalarınızı saklamanız için merkezi bir yer sağlar ve başkalarıyla kolayca işbirliği yapmanıza yardımcı olur. Bu güncellenmiş politika ile, Google Drive API’lerini kullanan uygulamaların Drive’daki içeriğe veya verilere geniş bir şekilde erişmesini sınırlayacağız. Bu, üçüncü tarafların belirli dosyalara erişimini kısıtlayacağımız ve yedekleme hizmetleri gibi daha geniş erişim gerektiren genel uygulamaları doğrulayacağımız anlamına gelmektedir.

Bu değişiklikler gelecek yılın başlarında yürürlüğe girecek. Daha fazla ayrıntı için Cloud blogunu ziyaret edin.

Geliştiriciler, kullanıcıların istedikleri ve ihtiyaç duydukları özellikleri oluşturmaya devam ederken, kullanıcı verilerini korumak ve güvenliğini sağlamak önceliğimizdir. Project Strobe ekibi, geliştiricilerin uygulamalarını ve hizmetlerini düzenlemeleri ve güncellemeleri için yeterli zaman tanıyarak geliştirici ortakları ile çalışmaya devam edecektir.

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir