Kasım 2013 tarihinde bir arkadaşım, CIA (Kim Arıyor?) mobil uygulaması hakkında bilgim olup olmadığını sordu. Bilgim olmadığını söylediğimde, bana arayan kişinin ekranda adını ve soyadını gösterdiğini ve bunu nasıl yaptığını merak ettiğini söyledi. Olsa olsa bu uygulamanın mobil cihaza yüklendiği anda telefon rehberinin bir kopyasını kendi sistemlerine gönderdiğini ve bunun üzerine çağrı geldiğinde rehber havuzda arayan numarayı sorgulayarak gösterebileceğini tahmin ettiğimi söyledim.
Uygulamayı kurup, inceledikten sonra telefon rehberinin aslında bu uygulamayı yükleyen kişinin insiyatifinde paylaşıldığını gördüm ve hemen kendi cep telefonu numaramı bu uygulamada üzerinden arattım. Beklediğim gibi telefon numarama sahip olan kişi veya kişiler, telefon rehberlerini paylaştıkları için benim adım ve soyadım da cep telefonum ile eşleştirilmişti. Yakın çevremdekilerin cep telefonu numaralarını da arattığımda bir arkadaşımın rehbere adı ve soyadı yerine ev adresi ile kaydedildiğini gördüm. Muhtemelen bu arkadaşımın sürekli sipariş verdiği ya bakkal ya çakkal telefon rehberine arkadaşımı bu şekilde kaydetmiş ve telefon rehberini de paylaşmıştı.
Mahremiyete ve güvenliğe önem verenler için, kendi rızası olmadan karşı tarafın (kişiler veya firmalar) insiyatifinde verilerinin 3. partilerle paylaşılması, satılması bilindiği üzere günümüzün en büyük sorunlarından bir tanesidir. Parayı verip, veriyi satın alan partilerin bu veriyi reklam dışında hangi amaçlarla kullandığını bilemediğimiz için verilerimize sahip çıkmaya çalışarak ileride başımıza gelebilecek potansiyel dolandırıcılık girişimlerinden kendimizi korumaya çalışmaktayız. Onlarca uyarıya rağmen kendini polis, jandarma, savcı olarak tanıtan dolandırıcılara karşı vatandaşlarımızın hala mağdur oluyor olması da, verilerimize neden sahip çıkmamız gerektiğinin önemini anlatıyor.
Bu arada 1 Mayıs 2015 tarihinde yürürlüğe giren Elektronik Ticaret yasası ile telefon, kısa mesaj ve e-posta ile izinsiz reklam yapanların 50.000 TL ‘ye varan para cezaları ödeyeceklerini de büyük bir memnuniyetle hatırlatmak isterim. Şikayet için T.C Gümrük ve Ticaret Bakanlığı’nın İleti Şikayet Sistemi‘ni ziyaret edebilirsiniz.
İyi, güzel de Mert, telefon rehberi paylaşımı ile telefon dolandırıcılığının ne tür bir bağlantısı var diye soruyor olabilirsiniz. En basitinden sosyal mühendislik testinde olduğu gibi test öncesinde karşı taraf hakkında ne kadar çok bilgiye sahip olursanız, test esnasında karşı tarafı ikna etmeniz ve değerli bilgilere ulaşmanız o kadar kolay olur. Bundan yola çıkacak olursanız, size telefon açan bir dolandırıcı, size adınız ve soyadınız ile hitap ettiği zaman, sizi ikna etme ihtimali çok daha yüksek olacaktır. Bundan yola çıkarak art niyetli kişilerin, dolandırıcıların kısa bir sürede kim arıyor ve benzeri mobil uygulamaların, telefon rehberi havuzundan kısa sürede nasıl isim ve soyad bilgilerini temin edebileceğini öğrenmeye ve buna karşı sizleri ve yakınlarınızı bu konuda uyarmaya karar verdim.
Bunun için ilk işim, GenyMotion Android öykünücüsüne uygulamayı yüklemek oldu. Uygulamayı yükledikten sonra aklıma gelen rastgele bir cepe telefonu numarasını arattım ve karşıma o kişinin adı ve soyadı çıktı. Bir dolandırıcı olsa ve elinde yüzlerce belki de binlerce cep telefonu numarası olsa, bu uygulama üzerinden bu cep telefonlarına ait isim ve soyad bilgilerini toplu halde nasıl alabilirdi diye düşünürken, öykünücüye dışarıdan çağrı gönderilebildiği geldi.
Çağrı gönderdikten sonra rehber havuzu üzerinde yapılan sorgulamanın, uygulama tarafından dosya sistemi üzerinde herhangi bir yere kaydedilip kaydedilmediğini adb shell komutu ile öykünücüye bağlanıp araştırmaya başladım. Çok geçmeden uygulama tarafından yapılan sorguların ve yanıtlarının uygulamaya ait databases klasörü altında history.db isimli sqlite veritabanı dosyasında tutulduğunu tespit ettim.
Ardından Python ile iki araç hazırladım. Bir tanesi mobil operatörlerin alan koduna göre numara üreterek öykünücüye çağrı gönderirken diğeri ise history.db veritabanı dosyasını okuyarak yeni oluşturulan kayıtları gösteriyordu. Araçları kısa bir süre çalıştırdıktan sonra çalışmamı tamamladım.
Bu çalışma sonucunda art niyetli kişilerin ellerinde bulunan veya bulunmayan (anlık olarak üretilen) cep telefonu numaraları ile isim ve soyad bilgilerini kısa bir sürede eşleştirebileceklerini öğrenmiş oldum. Siz de benim gibi, rızanız olmadan yakınlarınızın veya sizin cep telefonu numaranızı paylaşan arkadaşlarınız olduğundan şüphe ediyor ve Kim Arıyor? uygulamasının rehber havuzundan numaranızı silmek istiyorsanız, buradaki adresi ziyaret ederek numaranızı bu listeden sildirebilirsiniz.
Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.
21 comments
CIA dışındaki (mesela TrueCaller vb.) diğer program veri tabanlarından nasıl silme işlemi yapabiliriz?
Web sitelerinde yönlendirmeler oluyor, onları incelemenizde fayda var.
Merhaba, telefon numarasının kimin üzerine olduğunu nasıl bulabilirim?
Gsm operatörlerinin numara sorgulama servislerini kullanabilirsiniz. Örnek: https://m.turkcell.com.tr/servisler/bilinmeyen-numaralar
4.5
Teşekkürler, güzel bir yazı olmuş. Siber güvenlik ile ilgili diğer yazılarınıza da göz atacağım.
Rica ederim.
5
Harika bir yazı olmuş ellerinize sağlık.
Bu tür siteleri hackleyen kişilere ceza verilirmi acab :D
Rica ederim.
Bu tür uygulamalara verilerini kullanma izni veren kullanıcılar asıl bu durumdan sorumlu oldukları için sitelerin aslında kabahati çok daha az.
Hocam merhabalar. Malesef gerçekten silmiyorlar. Ben bir arkadaşımın numarasını sildirme talebinde bulunmuştum belili bir süre (tam hatırlayamıyorum) gözükmedi. Daha sonra uygulamaya bir güncelleme geldi ve aynı isim ve numara ile gözüküyordu.
Üzerinden baya zaman geçti şuan uygulamanın akıbeti nedir bilemiyorum.
Ayrıca facebook skype gibi uygulamalar da kişi listemizi kopyalıyor.
Bahaneleri de hazır rehberindeki facebook-skype kullananları bul :)
Bir de küçük küçük yazmış facebook :)
merhaba,
ben arayanibil.com un sahibiyim, bu uygulamanın kodlarını açtığımda request esnasında yapılan hash kodlarına erişemiyorum sizin bir bilginiz varmı bu konuda yardımcı olabilirmisiniz.
Uygulama geliştiricisi ile iletişime geçmenizi tavsiye ederim.
Bu sistemden belki 1 sene önce numaramı sildirmiştim.
Bugünde bir iyilik yapasım tuttu ve yakın arkadaşlarımın numaralarını sildim tek tek. Umarım işe yaramıştır.
Yazı için teşekkürler ;)
Silmek için yukarıda arkadaşın paylaşmış olduğu ilgili adrese mail mi attınız ?
Elinize sağlık hocam güzel yazı olmuş :)
Şunu da eklemek isterim eğer cyanogenmod kullanıyorsanız uygulama üzerinde izinleri yönetme imkanınız var. Uygulama rehber erişim izni istediğinde bildirim alıyorsunuz ve uygulamaya izin vermeyerek rehbere erişmesini engellenmiş oluyorsunuz. Kullanıcısı olarak birçok kez kullandım çok etkili bir özellik. Ayrıca yanlış bilmiyorsam Android M ile birlikte bu özellik tüm Android cihazlarda olacak. :)
Teşekkürler.
Herkes senin, benim kadar bilinçli olsa zaten sorun yok ancak 3 bilinçsiz kişi, bu tür uygulamaları yüklediği taktirde telefon numaramız ve isim soyad eşleştirmemiz ne yazık ki merkezi veritabanlarına kayıt oluyor.
Merhaba Mert Bey,
her zamanki gibi güzel olan paylaşımınızdan dolayı teşekkür ederim.
Ücretsiz ya da deneme hesabı kullanabilmeyi sağlayan voip hizmetlerine üye oldum [para olmayınca :) ] bence güzel bir hizmet ama,
bu sistemlerde de güvenlik ve gizlilikle ilgili sorunlar mevcut mu?
Teşekkürler.
Olabilir sonuçta bilmediğiniz bir sistem üzerinden telefon görüşmesi yapıyorsunuz.
Ellerinize sağlık acaba linkten numaramı sil derken herhangi bir farklı db numaramızı kendi elimizle vermiş olmayalım
Sorun numarayı vermekte değil zaten telefon numarası dediğimiz üretilebilir sayılar dizisi. Önemli olan arkada isim, soyad ve numara eşleştirilmesi yapılmışsa onu tespit edip, silmelerini sağlamak diye düşünüyorum.
Peşpeşe 20 tane numara girip bunlardan sadece biri sizin numaranız olursa kendi elinizdle kolayca numaranızı vermemiş ve veritabanından sidirmiş (gerçekten siliyorlar mı orası meçhul) olursunuz :)