Telefonumuzda kullandığımız mobil uygulamaların nelere mâl olabileceğinin farkında değiliz genelde. Bir ihtiyaç nedeniyle yüklediğimiz uygulama, başka bir kişi ya da kurumun istihbarat toplama amacına hizmet ediyor olabilir.

Geçtiğimiz günlerde yaşanan olay, bu vakalardan biriydi sadece. ABD istihbarat servisleri adına çalışan Panama merkezli Measurement Systems S. de R.L. adlı şirketin, birçok Android uygulamasına takip kodu eklettiği ortaya çıktı.

En az 60 milyon mobil cihaza indirilen bu uygulamaların, genellikle Orta Doğu, Orta ve Doğu Avrupa ile Asya'dan veri toplamayı amaçladığı tespit edildi. Bu tuzak uygulamaların içerisinde Namaz Vakti, Kıble Pusulası ve Kur’an’ın da yer aldığı görüldü. Bu da hedefte kimin olduğunu gösteriyor aslında.

İslâm coğrafyasında yaygın kullanılan bir hava durumu uygulaması, otoyol radar uygulaması ve QR tarayıcıların da yer aldığı casus uygulamaların, kullanıcıların GPS konumunu, e-postasını, telefon numaralarını, panolarını ve daha fazlasını toplayabilecek şekilde kurgulandığı ortaya çıktı.

Konumunuzun tespit edilmesi, nokta atışı hedef olmanızı sağlayabileceği gibi, telefonunuzdaki panonuz, üye olduğunuz servislerin kullanıcı adı ve parolalarını ya da kullandığınız şifre yöneticisindeki verileri içerebilir.

Bu zararlı kodun, hedef telefonların WhatsApp klasörlerindeki verileri görüntüleyebileceği, yakındaki bilgisayarlar ve mobil cihazlar hakkında veri çekerek, potansiyel hedeflerin kimlerle buluştuğunu haritalayabileceğini bilmek ürpertici.

Devletler, kullanıcı bilgilerini ya satın alıyor ya da yasal gerekçelerle bu bilgilere erişim izni elde ediyor. ABD ulusal güvenlik teşkilatları ve Savunma Bakanlığı, tehdit analizi yapmak için benzer verileri satın aldıklarını kabul ediyor. Ancak bilemediğimiz şey, bu verilerin nereden, nasıl elde edildiği ve hangi amaçlarla, nasıl kullanıldığı.

Wall Street Journal tarafından duyurulan casusluk faaliyeti, Serge Egelman ve Joel Reardon tarafından keşfedildi ve AppCensus şirketinin bloğunda yayınlandı. Bu skandalda, aracı şirketin veri paylaşan yazılım geliştiricilere ayda 100 ila 10.000 ABD doları arasında ödeme yaptığı ileri sürülüyor.

Bilgilerimizi satanların sadece uygulama geliştiricileri olmadığının farkına varmak gerekiyor. Mobil operatörden internet servis sağlayıcısına, kullandığımız bir yazılımın geliştiricisinden satın aldığımız telefonun üreticisine kadar herkesten kuşku duymalıyız.

Tespit edilen casus uygulamalar, Google tarafından Android uygulama mağazası Play Store’dan kaldırıldı. Sabıkalı yazılımlar zararlı kodu temizlediklerini bildirdikten sonra yeniden kullanıma sunuldu. Ancak veri satanlar hiçbir şekilde cezai yaptırıma maruz kalmadı.

Veri tüccarlığı yaparak bilgilerimizi istihbarat şirketlerine satan şirketler bugün farklı uygulamalarla, bugüne kadar tespit edilmemiş metotlarla yine bildiklerini yapmaya devam ediyor. O nedenle bize düşen, indireceğimiz uygulamaların geliştiricileri hakkında daha iyi araştırma yapmak.