Profilime Kim Baktı?

If you are looking for an English version of this article, please visit here.

23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz gezdirmeye karar verdim. Paylaşan hesaplardan birinin yazmış olduğu mesajda, Web Postegro & Lili isimli bir Android uygulamasının profil görüntüleyenleri gösterdiğinden bahsediyordu.

Who Viewed My Profile ?
Who Viewed My Profile ?
Who Viewed My Profile ?

LinkedIn hariç Twitter, Facebook, Instagram gibi sosyal ağların, profil görüntüleyenlerin bilgisini kullanıcıları ile paylaşmadığını bildiğim için bu tür bir uygulamalara her zaman şüpheyle yaklaşmışımdır. Şüphelerim konusunda haklı olup olmadığımı anlamak için bu Android uygulamasını indirip analiz etmeye ve farkındalık adına kaleme almaya karar verdim.

İlk olarak Web Postegro & Lili Android uygulamasının Google Play’deki sayfasını incelemekle işe başladım. 24 Eylül itibariyle 100.000‘den fazla yüklenen bu mobil uygulamanın kullandığı izinlere baktığımda beni şüphelendiren bir izin ile karşılaşmadım. Yorumlara göz attığımda ise bazı kullanıcıların hesaplarına yurtdışından giriş yapıldığına dair şüpheli yorumlar gördüm. Geliştiricinin yanıtladığı yorumlardan birinde güvenlik politikasında yurt dışından bağlantı yapıldığının ifade edildiğini belirtmesine rağmen buna dair politikada herhangi bir kısım göremedim.

Who Viewed My Profile ?
Who Viewed My Profile ?
Who Viewed My Profile ?
Who Viewed My Profile ?
Who Viewed My Profile ?

Google Play sayfasından ön bilgileri topladıktan sonra APKPure sitesinden Web Postegro & Lili uygulamasını analiz etmek için indirdim ve APK dosyasını VirusTotal‘a yüklediğimde bu uygulamanın zararlı olduğuna dair herhangi bir ize rastlamadım.

Ardından bu uygulamayı GenyMotion öykünücüsüne yükleyip, favori araçlarından biri olan Charles Proxy yardımı ile çalışma esnasında gerçekleştirdiği HTTP trafiğini kayıt altına almaya başladım. Uygulamanın haberleştiği payingpos[.]xyz web sunucusundan gelen ilk yanıtta, uygulama geliştiricisine ait olan postegro.llc Instagram hesabını gördüm. Hesabında paylaştığı fotoğraflardan birinde Google Play’den daha önce bu uygulamanın kaldırıldığını paylaşması dikkatimden kaçmadı. Instgram hesabında yer alan ve alan adı 5 Eylül tarihinde kayıt edilen web adresini ziyaret ettiğimde, Web Postegro & Lili uygulamasını (39.apk) direkt web sitelerinden indirebildiğimi öğrendim.

Who Viewed My Profile ?
Who Viewed My Profile ?
Who Viewed My Profile ?
Who Viewed My Profile ?

Charles Proxy ile kayıt altına alınan trafiği incelediğimde, Web Postegro Lili (Web Postegro Lili_v1.0_apkpure.com.apk) uygulamasının kullanım esnasında payingpos[.]xyz, webpostegro[.]net ve postegro[.]net sunucuları ile haberleştiğini gördüm.

39.apk isimli APK dosyasını da VirusTotal‘a yüklediğimde benzer şekilde zararlı olduğuna dair bir uyarı ile karşılaşmadım. Web Postegro & Lili (39.apk) uygulamasının kullanım esnasında postegro202039348[.]com, imagecropper2020[.]com, postegro[.]net ve de kapalı olan postegro[.]com sunucuları ile haberleştiğini gördüm. postegro[.]com adresi çalışmadığı için Web Postegro & Lili (39.apk) uygulamasının profillere bakma, profile bakanları gösterme gibi genel fonksiyonları çalışmıyordu dolayısıyla analizime Web Postegro & Lili (Web Postegro Lili_v1.0_apkpure.com.apk) uygulaması üzerinden devam ettim.

Web Postegro & Lili uygulaması çalıştığında karşıma profili gizli olanlara bakma (Hesaplara bak) ve profiline bakanları görmeye (Bana kim baktı) imkan tanıyan menüler geldi. Hesaplara bak menüsüne tıkladığımda uygulama kendi arayüzünden instagram.com sunucusu ile haberleşerek Instagram kullanıcı adı ve parolasının girildiği giriş sayfasını karşıma çıkardı. Bu araştırmaya özel olarak oluşturduğum osmantosman24 Instagram kullanıcı adım ve parolam ile giriş yapar yapmaz uygulamanın arka planda instagram.com sunucusu ile doğrulama sonrasında oluşan oturum bilgilerimi cookie parametresi ile payingpos[.]xyz adresine gönderdiğini ve bu ve daha fazla bilgimi /data/data/com.web.lilipostego/shared_prefs/com.web.lilipostego_preferences.xml dosyasına kayıt ettiğini tespit ettim!

Who Viewed My Profile ?
Who Viewed My Profile ?
Who Viewed My Profile ?

Uygulamayı kullanabilmem için en az 10 kişinin beni veya benim 10 kişiyi takip etmem gerektiği için hızlıca takibe takip yapan Instagram hesaplarını takip etmeye başlayarak onların da beni takip etmesini sağladım. Takipçi sayımı arttırıp, takip ettiğim tüm hesapları takip etmeyi bıraktıktan sonra uygulamanın menüleri arasında gezmeye başladım ve profili genele kapalı, gizli olan hesapların içeriğini görüntüleyebildim. Görünüşe göre bu uygulama gelirini, uygulama üzerindeki limitlerin (reklam kaldırma, hikayeleri sınırsız görüntüleme, hesaplara sınırsız bakma, profil görüntüleyenlerin isimlerinin sansürsüz görünmesi gibi) belirli bir ücret karşılığında kaldırılması ile sağlıyordu.

Who Viewed My Profile ?
Who Viewed My Profile ?
Who Viewed My Profile ?

Normal şartlarda güvenli mimariye sahip bir uygulama sizin Instagram bilgilerinize erişmek istediğinde yetkilendirme işlemi için Oauth protokolünden faydalanır ve sizden onay ister fakat Web Postegro & Lili uygulamasında kullanıcıdan izin, onay isteyen bir kısım bulunmuyordu. Bu durumda bu uygulamanın gizli profilleri görüntülemeye, profilleri görüntüleyenleri listelemeye imkan tanıyabilmesi için uygulama üzerinden Instagram’a giriş yapan kullanıcılara ait oturum bilgileri ile Instagram sunucularına bağlanıp tüm bu kullanıcılara ait hesapların bilgilerine sürekli erişmesi gerekiyordu. (session hijack) Bu yöntemi izlediğini anlamak için Web Postegro & Lili uygulamasının payingpos[.]xyz adresine cookie parametresi ile gönderdiği oturum bilgilerinin Instagram hesabıma erişme adına yeterli olduğunu anlamak için Burp Suite ile VPN üzerinden bir test gerçekleştirdim. Web Postegro & Lili uygulaması üzerinden Instagram’a tekrar giriş yaparak uygulamanın sunucuya gönderdiği yeni oturum bilgileri ile Burp Suite üzerinden Instagram hesabımın Login Activity sayfasına (https://www.instagram.com/session/login_activity/) istekte bulunduğumda başarıyla sunucudan yanıt alabildiğimi gördüm! Instagram tarafında hesabına bu şekilde erişenleri anlamamın bir yolu var mı diye Login Activity sayfasına tekrar baktığımda maalesef VPN ile yurt dışından yaptığım erişim görünmüyordu!

Who Viewed My Profile ?
Who Viewed My Profile ?
Who Viewed My Profile ?
Who Viewed My Profile ?
Who Viewed My Profile ?

Facebook’un güvenlik ekibine bu durumu yukarıdaki ekran görüntüleri ile adım adım, çok defa anlatmış olmama rağmen maalesef en basit dolandırıcılık senaryosuna karşı yapmaları gerekenin ne olduğunu (5 dakika içinde Instagram hesabına önce bir ülken daha sonra ise başka bir ülkeden giriş yapılıyorsa kullanıcıyı uyarılır, Login Activity sayfasında hangi ülkeden bağlantı kurulduysa gösterilir vb.) bir türlü anlayamadılar.

Hesabımın kontrolünü geri kazanmak ve Web Postegro & Lili uygulamasından çıkış yaptıktan sonra geliştiricinin hesabıma erişiminin devam edip etmediğini öğrenmek için Instagram hesabıma Windows üzerinden erişip takip ettiğim kişilerin sayısını 1 arttırdım. Ardından webpostegro[.]net sunucusundan kullanıcıma ait güncel bilgileri getirmesini istediğimde takip etmeye başladığım son kullanıcının bilgilerini de getirebildiğini, kısaca erişiminin devam ettiğini gördüm!

Who Viewed My Profile ?

Web Postegro & Lili uygulamasının ve geliştiricisinin Instagram hesabıma, oturumuma olan erişimlerini nasıl engelleyebilirim diye düşünürken Instagram parolamı değiştirmenin işe yarayıp yaramayacağına bakmaya karar verdim ve parolayı değiştirir değiştirmez hesabıma erişemediklerini webpostegro[.]net üzerinden teyit etmiş ve araştırmamı burada sonlandırmış oldum.

Who Viewed My Profile ?

Yaptığım araştırmayı kısaca özetleyecek olursam;

  • Profilinize bakanları görmek için kullandığınız Web Postegro Lili Android uygulaması, Instagram hesabınıza erişirken kullandığınız oturum bilgilerinizi alarak Instagram hesabınızın tamamına erişim sağlamaktadır!
  • Web Postegro Lili uygulamasından çıkış yapsanız da silseniz de geliştiricinin Instagram hesabınıza erişimi devam etmektedir. Bunu engellemek için Instagram parolanızı değiştirmeniz gerekmektedir.

  • Naçizane tavsiye olarak kullandığınız bir sosyal ağ, medya uygulamasının özellikleri arasında profilinizi görüntüleyenleri gösterme gibi hayal ettiğiniz bir özellik bulunmuyorsa, bunu yaptığını vaadeden bir kişi, uygulama, web sitesi vb. ile karşılaştığınızda kullanmadan, güvenmeden önce arka planda hangi bilgilerinizi feda edebileceğinizi hatırlamanızda fayda olacaktır.

    Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

    image_pdfShow this post in PDF formatimage_printPrint this page
    43 comments
    1. Ellerinize sağlık Mert Hocam. Bu yazıların teknik kullanıcıların dışında son kullanıcılar tarafından da okunması farkındalığı arttıracaktır kanaatindeyim lakin teknik kullanıcılar dahi bu tip uygulamaları yükleyebiliyor. Bir söz vardır. “Birşey bedavaysa mutlaka bir çıkar vardır.” Bu tip ücretsiz uygulamalarda truva atı ya da böyle kar amacı giden tuzaklar içerebilir.

      1. Uygulama üzerinden Instagram’a giriş yapanların bilgilerini elde ettikten sonra giriş yapanlar arasında vadettiklerini gerçekleştiriyor.

    2. Bu tarz programların sıkıntılı olduğunu ve kişiye büyük zarar vereceğini kullanan kişilere defalarca açıkladım. Ancak elimde bu kadar fazla delil olmadığı için sen çok biliyorsun şeklinde tepkiler ile karşılaştım. Beni haklı çıkartan bir yazı görmek beni mutlu etti ellerinize sağlık hocam.

    3. Muhteşem bir yazı olmuş hocam. Ben de uygulamayı ilk çıktığından beri şüpheli olarak gördüğümden dolayı incelemeye çalışıyorum. Sizin bulduklarınızdan farklı pek bir şey bulamadım. Sadece ek olarak geliştiricilerin yüksek ihtimalle Türk olduğunu not düşeyim. 8-9 ay önce uygulama ilk çıktıklarında sosyal medyada paylaştıkları videolarda hep Türkçe diline sahip telefonlar, hesaplar kullanılıyordu.

    4. Benim hesabim bu uygalamayi kullandiktan sonra intagram tarafindan kilitlendi şimdi nasıl açilcak bilmiyorum bana yardimci olur musunuz kayitli epostama guvelik kodu gelmiyor

    5. Merhaba bende sediğinizi uyguladm sıfreyı degıstırdım sımdı, fake hesaptan girdim baktım hala gözüküyor açılıyor profılım vs..

    6. Hocam tahmin etmiştim çünkü bütün hesaplar yoktu bu uygulamada ayrıca İnstagram Takipçi Hilelerinde de havuz sistemi kullanıyorlardı burda da bunun kullanılmadığından şüpheliydim bariz ortadaydı başka şekildede olamazdı zaten elinize sağlık.

    7. hocam yazılarınız çok güzel fakat yazı boyutlarını büyütüp biraz daha kalın yaparsınız çok daha güzel olacak. Okumakta çok zorluyor bizi :)

    8. Merhaba Mert Bey, güzel içerik için teşekkürler. Benim merak ettiğim husus şu, profile bakanlar listesine düşen kişiler yine postegro kullanıcıları mı yoksa normal kullanıcıları da ifşa edebiliyor mu bu app?

    9. Merhaba Mert Bey, güzel yazınız için teşekkürler. Kafama takılan bir soru var. Uygulama üzerinden giriş yapıldığında çalınan session cookie belirli bir süre için geçerli değil midir? Öyleyse uygulamadaki oturumu kapatmak cookie’yi geçersiz kılmaz mı? Biraz geç bir soru oldu ama cevaplarsanız sevinirim.

      1. Evet teoride oturum aktif olarak x süre kullanılsa da bir süre sonra sonlandırılması gerekiyor fakat sonlansa da uygulamayı kullanmak için Instagram kullanıcı adı ve parolası ile giriş yapılmasını gerektiği için her daim yeni oturuma ulaşabilir.

    10. Ben lili gbi herhangi bir uygulama kullanmıyorum instagramda profiline baktığım kişiler benim onlara baktığımı görebilir mi

    11. Merhaba ben pastegroyu kullanıyorum premiumum profiline baktığım kişilerde belli olmuyor ismim demi ?

    Leave a Reply

    Your email address will not be published. Required fields are marked *

    You May Also Like
    Read More

    e-Devlet Hacklendi mi?

    If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
    Read More
    Read More

    LinkedIn Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
    Read More
    Read More

    WhatsApp Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
    Read More
    Read More

    Bad Bad USB

    If you are looking for an English version of this article, please visit here. Her yıl, Ağustos ayında, ABD’nin Las Vegas kentinde düzenlenen geleneksel Black Hat Bilgi Güvenliği Konferansı‘nın sonuncusunda, Karsten NOHL ve Jakob LELL adındaki iki araştırmacı, BadUSB adında dikkat çekici bir sunuma imza attı. Bu sunumda kısaca, USB’de…
    Read More