VPNpro'nun araştırma ekibi, Android izinlerinde yapılan istismarların kötü yüzünü bir kez daha ortaya çıkardı. Ekibin yayınladığı rapora göre Çin'de geliştirilen bir 'casus yazılım' uygulaması, 100 milyonun üzerinde indirilme sayısına sahip. Daha da kötüsü, bu uygulamanın geliştiricisinin en az 50 milyon kez indirilen başka uygulamalara da sahip olması. VPNpro'ya göre bahse konu olan yazılımlar 'tehlikeli' izinler talep ediyor ve en az bir tanesi kötü niyetli uzaktan erişim virüsleri saklıyor.
Raporda yer alan teknik kötüye kullanımların ötesinde bir de gizleme meselesine dikkat çekiliyor. Çinli geliştiricinin Google Play Store'da uygulamaları sunarken kökenlerini yerel alt yüklenicilerin arkasına gizlediği iddia ediliyor. Daha önce de birbiriyle bağlantılı geliştiricilerin ağının bağlantılarını gizlediklerine şahit olmuştuk. Google, geçtiğimiz ay izinleri kötüye kullanan ya da yüklendikten sonra adware bombardımanına başlayan 70 milyona yakın indirilen birçok uygulama ağına yaptırım uygulamıştı.
İzin meselesi oldukça karmaşık:
Söz konusu olan, uygulamanın talep ettiği izinler olunca işler biraz karmaşıklaşıyor. Google, geliştiricilerde standart prosedür uygulamak için önlemler alsa da bunları zorunlu hâle getirmiyor. Bununla birlikte Google'ın bu önlemlerinin, uyulması zorunlu hâle getirilmesini talep edenler de var. Söz konusu olan, izinlerin istismarı aracılığıyla milyonlarca kullanıcının güvenliği olduğunda para kazanmak için bu tip kötüye kullanımlara göz yumulmasına tepki gösteriliyor.
Bahse konu casus yazılımın geliştiricisi, merkezi Çin'in Hangzhou kentinde olan ve en popüler uygulaması VivaVideo olan QuVideo Inc. VPNpro tarafından 'Android için en büyük ücretsiz video düzenleme programlarından biri' olarak nitelendirilen VivaVideo, Play Store'dan en az 100 milyon kez indirilmiş. VivaVideo, 2017 yılında Hindistan hükûmeti tarafından 'casus yazılım veya kötü niyetli yazılım' olarak sınıflandırılan 40 Çin merkezli uygulamadan biri. Hindistan ordu personelinden bu uygulamayı telefonlarından acilen silmeleri istenmişti.
VPNpro'nun raporuna göre Play Store'da QuVideo'nun üç uygulaması bulunuyor ancak görünüşe bakılırsa şirketin başka uygulamalarla da bağlantıları var. Geliştiricinin App Store'da da uygulamaları bulunuyor ancak iOS'taki izin meselesi farklı ve Android'deki benzer kötüye kullanımlara açık değil.
