Havayolları, mobil cihazlarında uygulamalarla (apps) kullanıcıların tahmin edilemeyecek kadar bilgilerine ulaşabildikleri ortaya çıktı. Şirketler uygulamaları ihtiyaç halinde yükleyip kullanan müşterilerinin her türlü bilgilerini topluyor ve istedikleri gibi de değerlendirilebiliyorlar.
Mobil uygulamalarla havayollarının ilişkisi konusundaki araştırmalar ilginç hatta şaşırtıcı bilgileri ortaya koyuyor. Bazı havayolları uygulamalarını kullanan müşterilerinin konumlarına istedikleri an erişirken, bazı havayolları da mikrofonlarına ulaşabiliyor. Yani istedikleri an dinleme imkanına kavuşuyorlar.
Dünya genelinde 14 popüler havayolu uygulamasını (apps) yakın plana alarak inceleyen Cybernews, yaptığı araştırmayla bazı şirketlerin mobil cihazlardaki uygulamalarla hassas bilgilere erişime sahip olabileceğini ortaya çıkardı. Haber Aero ile yapılan çalışmayı paylaşan Cybernews, araştırmacılarının incelediği tüm uygulamalardan en fazla veriyi Amerikan ve United havayollarının topladığının, Filipin Havayolları ise en az veriye ulaşan toplayan şirket olduğunu açıkladı.
Havayolları hangi veriler topluyor
Araştırmacılar, havayolu uygulamalarının kullanıcıların konumuna, kameraya, depolama alanına, telefon durumuna, mikrofona, kişilere, cihazdaki hesaplara, mesajlara ve çağrılara erişip erişemediğini kontrol etmek amacıyla 14 havayolu uygulamasını hassas Android izinleri çerçevesinde test etmişler.
Araştırılan havayolu uygulamaları şunlar;
- Air Asia
- American Airlines
- United Airlines
- FlyDelta
- RyanAir
- Spirit Airlines
- Southwest Airlines
- Frontier Airlines
- Turkish Airlines
- Alaska Airlines
- Singapore Airlines
- Philippine Airlines
- Vietnam Airlines
- Aegean Airlines
Tüm havayolu uygulamaları da tam bir kullanıcı konumuna erişim durumundayken test edilmiş. Sadece RyanAir, FlyDelta ve Aegean havayolları uygulamaları aracılığıyla yolcuların konumlarını topladıklarını açıklamamış.
Test edilen tüm havayolu uygulamalarının tam bir kullanıcı konumuna erişimi olduğu anlaşılmış. Çoğu havayolu, uygulamalarını kullanıcılarını esas olarak uygulama işlevselliği, kişiselleştirme ve pazarlama nedenleriyle bulduklarını açıklamış. Ancak tüm havayolları, yolcu konumlarını havayolu uygulamaları aracılığıyla topladıklarından söz etmemişler.
Kameraya erişimi için yapılan araştırmada 14 havayolundan yalnızca 3’ü kamerayla ilgili verilerin toplandığını açıklamış. Test edilen 14 uygulamadan 12’sinde kamera izni varmış. Ancak yalnızca üç havayolu, kamerayla ilgili verilerin toplandığını açıklamışken bunu uygulamanın işlevselliği, güvenlik ve uyumluluk girişimlerinin bir parçası olarak izah etmiş.
Kamera verileri de toplanıyor
Uygulamaları kanalıyla kamerayla ilgili verileri topladıklarını açıklamayan havayolu arasında Air Asia, Fly Delta, Spirit Airlines, Southwest Airlines, Frontier Airlines, Singapore Airlines, Vietnam Airlines ve Agean Airlines yer alıyor. Dokuz havayolu, potansiyel olarak depolama verileri topladıklarından bahsetmemiş.
Ancak araştırmacıların test ettiği 11 havayolu uygulaması, cihazların depolama alanını okuyup yazabildiği ve sadece bir havayolu uygulamasının cihazın depolama alanındaki dosyaları okuma izni olduğu gerçeğiyle karşılaşmışlar. Uygulamalar kanalıyla erişebilen veriler arasında kullanıcı tarafından oluşturulan dosyalar, fotoğraflar, videolar, belgeler ve diğer özel veriler yer alıyor. Bu durum istismar edilmesi durumunda veri kaybına ve gizlilik ihlallerine neden olabileceğine işaret ediliyor.
Yalnızca üç havayolu, uygulama işlevselliği, analiz ve güvenlik nedenleriyle gerekli olduğunu iddia ederek dosyalarla ilgili verileri topladıklarını açıklamış. Geriye kalan dokuz havayolu ise potansiyel olarak depolama alanına erişebileceklerinden bahsetmemiş.
Mobil cihazların mevcut durumu uygulamalarla okunabiliyor. Fakat incelenen 14 havayolu uygulamasından 9’unun bu izne sahip olduğu gerçeğiyle karşılaşılmış. Telefon durumu bilgilerinin okunması, uygulamaya cihazı ve kullanıcıyı tanımlayabilecek verilere erişim izni verdiği için hassas kabul ediliyor. Bu bilgiler cihazın telefon numarası, ağ durumu, ağ operatörü, IMEI kodları, SIM kartı ve internet sağlayıcısına ilişkin bilgiler gibi hassas bilgileri içeriyor.
Mikrofona erişim neden gizleniyor?
İncelenen havayollarının hiçbiri mikrofona erişimi açıklamamış. Araştırmacılar, bazı havayolu uygulamalarının bu izne sahip olduğunu ancak hiçbir havayolunun bunu Playstore’da açıklamadığını belirtiyor. Mikrofona erişimi olan ve Google Playstore’da sesle ilgili verileri topladığını açıklamayan havayolları AirAsia, United Airlines, RyanAir ve Singapore Airlines olmuş.
İletişim bilgileri sorunlu erişim!
Havayollarının mobil uygulama kullanıcıların kişilerine erişmesine gerek yokken, üç uygulama da bu erişimin olduğu anlaşılmış. İletişim bilgileri arkadaşlar, aile, meslektaşlar ve tanıdıklar hakkında özel veriler içerebileceğinden hassas olduğunu söylemeye gerek yok. Ancak test edilen üç uygulamanın; AirAsia’nın uygulamasıyla okuyup yazabilecek, Türk Hava Yolları ve Vietnam Havayollarının ise sadece okuyabilecek şekilde, kullanıcıların kişi listelerine ve cihazdaki ilgili bilgilere erişimi olduğu anlaşılmış.
Havayollarının müşterilerin uygulamalar kanalıyla seyahatlerini karşılamak, organize etmek için kullanıcı iletişim bilgilerine erişmesine gerek olmadığından bu durumun da endişe verici olduğunun altı çiziliyor. Ayrıca uygulama geliştiricilerinin hiçbirinin de böyle bir izne sahip olduğunu açıklayacak dayanakları sahip olmadığı ifade ediliyor.
Hesap verileri de sıkıntıda…
Hesap alma izni uygulamaya kullanıcının cihazla ilişkili hesaplarına erişim izni verir. Bu, uygulamanın cihazda kayıtlı e-posta adresleri de dahil olmak üzere Google, Meta, Samsung ve diğer hesaplar gibi hesapların bir listesini alabileceği anlamına geldiğine vurgu yapılıyor. Araştırmayı yapanlar ve ilgili uzmanlar bir havayolu uygulaması için bu tür bir iznin işlevsellik açısından gereksiz olduğu, ancak potansiyel olarak gizlilik ve güvenlik riskleri taşıyabileceğine vurgu yapıyorlar.
Ayrıca 4 havayolunun uygulamasını kullananların cihazlarındaki SMS ve yapılan aramalara, bunu açıklamadan erişmeye yönelik başka bir yedek izni daha olduğu tespit edilmiş. Bu izne sahip uygulamalar, kullanıcı adına kısa mesaj gönderebiliyor ve arama yapabiliyor. Cybernews araştırmacıları SMS ve çağrı erişimi olan ve bunu açıklamayan havayolları arasında büyük havayolları yer alıyor.