Cep Telefonları, Gsm Operatörleri ve Mobil İnternet
Mobil Isletim Sistemlerinin Karanlik Yuzleri (Tez Konusu)
Mobil Isletim Sistemlerinin Karanlik Yuzleri (Tez Konusu)
-
Yuksek Lisans Tez konusu olarak mobil isletim sistemlerinden android, ios ya da windowsdan birini incelem teklif edildi.
Arastirmanin amaci, acaba isletim sistemleri kullanici bilgisi disinda neler yolluyorlar kendi sunucularina (sozlesmede yaziyordur belki ama kac kisi okuyor ki)
Mesela android de uygulama yuklerken hangi kisimlara erisecegi ilk basta soruluyor, peki android in kendinden gelen uygulamalari icin boyle bir bildirim var mi? yok.. Ama kurulumda sozlesme kabul edildigi icin o bilgilere erisilmesi kabul edilmistir diye dusunuluyor. Mesela google bildiginiz gibi acayip loglama yapiyor ve muhtelemen sizin ozel bilgileriniz de (rehber, fotograflar, konum) google a iletiliyor.
Ayni sey apple ve microsoft icin de gecerli.
Muhtemelen ios u benden once basvurmus kisiye verecekler, ben android i alacagim..
Ikinci olarak, bir uygulama kuruldugunda izinler harici nerelere erisebilir. Mesela bir uygulama yaptim, ve kontak liste erisim izni istemeden erisebilir miyim? Keza ayni sekilde baska uygulamalarin dosyalarina erisip kendi sunucuma gonderebilir miyim? Bunun icin her zaman root sart mi v..s
gibi basliklar var arastirmam gereken. Bu konuda fikirlerinizi, onerilerinizi, kaynak tavsiyelerinizi bekliyorum. Ayrica bu konuyu secip secmemede kararsizim. Bu arada bunla ilgili de bir mobil uygulama gelistirmem gerekecek.
-
bi konuda şöle söleim; mesela erişim yapman gereken bi yer var, kod olarak yazıorsun sonra manifestte permission vermezsen o kod çalışmıor diye hatırlıorum.manifestte de permission verince zaten kullanıcı görüo bunu bunu istiyor diye.
fakat androidin kendisi ne tarz bir bilgi toplayıp gönderior onu bilmiorum.sözleşmeyide okumadım fakat sözleşme dışında da bence bilgi toplama yapıodur.bu hepsi için geçerli tabi bu benim düşüncem.bu arada tez konusu zor hocam.gönderiorsa bile nası bulacağını merak ettim
-
hocam kullanicilarin izin olayini biliyorum ama belki bir yol vardir asmak icin, zaten arastirma konusu :)
google da aradiklarini kaydediyor, bir sozlesme gordun mu ilk kullanildiginda :) ama vardir bi yerlerde..
mesela whatsapp; facebook whatsapp i satin aldi, acaba resimleri ve rehberi facebook a yolluyor mu?
nasil buluruma gelince, sonucta bunlar net uzerinden oluyor. bir sniffer ile gorulebilir neler gonderildigi
-
android ile ilgili google play üzerinden yapılan bazı trickler mevcut.
android'i alman isabet olmus bence. direkt olarak penetrasyon testlerinde nelerin yapıldıgını, android sandbox'ı arastırarak baslayabilirsin.
birde yine play'de security tarafını kontrol eden bir algoritma vardı ama adını hatırlayamadım, arastırırken karsına cıkacaktır.
Andrei tarafından 29/Nis/15 11:52 tarihinde düzenlenmiştir -
Andrei bunu yazdı
android ile ilgili google play üzerinden yapılan bazı trickler mevcut.
android'i alman isabet olmus bence. direkt olarak penetrasyon testlerinde nelerin yapıldıgını, android sandbox'ı arastırarak baslayabilirsin.
birde yine play'de security tarafını kontrol eden bir algoritma vardı ama adını hatırlayamadım, arastırırken karsına cıkacaktır.
evet hocam tel harici bir de android sandbox kullanacagim .. Ben acikcasi pek guvenmiyorum google a zaten. Gerci open source ama bakmak lazim yine de.. tesekkurler
onerilerinizi bekliyorum.. her turlu sey ise yarar :)
unbalanced tarafından 29/Nis/15 11:58 tarihinde düzenlenmiştir -
Android üzerinde mesela rehber erişimi için izin almayan bir uygulama, diğer uygulamalar sayesinde dışarıya rehberi gönderebiliyordu. Kısaca sadece izinleri kontrol ederek güvenlik sağlanamıyor. Bu konuda geçen yıl oğuzhan topgül güzel bir sunum yapmıştı.
-
akustikelektrik bunu yazdı
Android üzerinde mesela rehber erişimi için izin almayan bir uygulama, diğer uygulamalar sayesinde dışarıya rehberi gönderebiliyordu. Kısaca sadece izinleri kontrol ederek güvenlik sağlanamıyor. Bu konuda geçen yıl oğuzhan topgül güzel bir sunum yapmıştı.
sagolasin hocam bu cok iyi oldu :)
-
Hocam capability leak kullanılarak zamanında birşeyler yapılmış :) Bu açık hala devam ediyormu bilmiyorum. Ancak çalışmalarına yardımcı olması açısından paylaşıyorum.
Bu 2011 yılında paylaşılan blog yazısı;
Buda bununla ilgili yazılmış makale;
http://www.cs.fsu.edu/~zwang/files/NDSS12_Woodpecker.pdf
-
aercys bunu yazdı
Hocam capability leak kullanılarak zamanında birşeyler yapılmış :) Bu açık hala devam ediyormu bilmiyorum. Ancak çalışmalarına yardımcı olması açısından paylaşıyorum.
Bu 2011 yılında paylaşılan blog yazısı;
Buda bununla ilgili yazılmış makale;
http://www.cs.fsu.edu/~zwang/files/NDSS12_Woodpecker.pdf
tesekkurler hocam, cok ise yarar bu makale, bunun uzerinden giderim. Zaten ilk asama yapilmis arastirmalari bulup cikarmak olacak
-
Kitap önerisi: Android Hacker's Handbook - http://it-ebooks.info/book/3767/
Hem yazılımsal hem donanımsal baya şey anlatıyor.
-
sagolasin hocam inceleyecegim kitabi.
Simdi mail aldim hocadan, ben teze erken baslamak istemistim ama donem bitmedi henuz ve kredi olarak benim krediden fazla istiyorlar. O yuzden diger doneme kaldi tez olayi. Eger kimse almazsa bana vereceklermis :)
neyse kismet degilmis
cevap yazan arkadaslara tesekkurler