If you are looking for an English version of this article, please visit here.
23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz gezdirmeye karar verdim. Paylaşan hesaplardan birinin yazmış olduğu mesajda, Web Postegro & Lili isimli bir Android uygulamasının profil görüntüleyenleri gösterdiğinden bahsediyordu.
LinkedIn hariç Twitter, Facebook, Instagram gibi sosyal ağların, profil görüntüleyenlerin bilgisini kullanıcıları ile paylaşmadığını bildiğim için bu tür bir uygulamalara her zaman şüpheyle yaklaşmışımdır. Şüphelerim konusunda haklı olup olmadığımı anlamak için bu Android uygulamasını indirip analiz etmeye ve farkındalık adına kaleme almaya karar verdim.
İlk olarak Web Postegro & Lili Android uygulamasının Google Play’deki sayfasını incelemekle işe başladım. 24 Eylül itibariyle 100.000‘den fazla yüklenen bu mobil uygulamanın kullandığı izinlere baktığımda beni şüphelendiren bir izin ile karşılaşmadım. Yorumlara göz attığımda ise bazı kullanıcıların hesaplarına yurtdışından giriş yapıldığına dair şüpheli yorumlar gördüm. Geliştiricinin yanıtladığı yorumlardan birinde güvenlik politikasında yurt dışından bağlantı yapıldığının ifade edildiğini belirtmesine rağmen buna dair politikada herhangi bir kısım göremedim.
Google Play sayfasından ön bilgileri topladıktan sonra APKPure sitesinden Web Postegro & Lili uygulamasını analiz etmek için indirdim ve APK dosyasını VirusTotal‘a yüklediğimde bu uygulamanın zararlı olduğuna dair herhangi bir ize rastlamadım.
Ardından bu uygulamayı GenyMotion öykünücüsüne yükleyip, favori araçlarından biri olan Charles Proxy yardımı ile çalışma esnasında gerçekleştirdiği HTTP trafiğini kayıt altına almaya başladım. Uygulamanın haberleştiği payingpos[.]xyz web sunucusundan gelen ilk yanıtta, uygulama geliştiricisine ait olan postegro.llc Instagram hesabını gördüm. Hesabında paylaştığı fotoğraflardan birinde Google Play’den daha önce bu uygulamanın kaldırıldığını paylaşması dikkatimden kaçmadı. Instgram hesabında yer alan ve alan adı 5 Eylül tarihinde kayıt edilen web adresini ziyaret ettiğimde, Web Postegro & Lili uygulamasını (39.apk) direkt web sitelerinden indirebildiğimi öğrendim.
Charles Proxy ile kayıt altına alınan trafiği incelediğimde, Web Postegro Lili (Web Postegro Lili_v1.0_apkpure.com.apk) uygulamasının kullanım esnasında payingpos[.]xyz, webpostegro[.]net ve postegro[.]net sunucuları ile haberleştiğini gördüm.
39.apk isimli APK dosyasını da VirusTotal‘a yüklediğimde benzer şekilde zararlı olduğuna dair bir uyarı ile karşılaşmadım. Web Postegro & Lili (39.apk) uygulamasının kullanım esnasında postegro202039348[.]com, imagecropper2020[.]com, postegro[.]net ve de kapalı olan postegro[.]com sunucuları ile haberleştiğini gördüm. postegro[.]com adresi çalışmadığı için Web Postegro & Lili (39.apk) uygulamasının profillere bakma, profile bakanları gösterme gibi genel fonksiyonları çalışmıyordu dolayısıyla analizime Web Postegro & Lili (Web Postegro Lili_v1.0_apkpure.com.apk) uygulaması üzerinden devam ettim.
Web Postegro & Lili uygulaması çalıştığında karşıma profili gizli olanlara bakma (Hesaplara bak) ve profiline bakanları görmeye (Bana kim baktı) imkan tanıyan menüler geldi. Hesaplara bak menüsüne tıkladığımda uygulama kendi arayüzünden instagram.com sunucusu ile haberleşerek Instagram kullanıcı adı ve parolasının girildiği giriş sayfasını karşıma çıkardı. Bu araştırmaya özel olarak oluşturduğum osmantosman24 Instagram kullanıcı adım ve parolam ile giriş yapar yapmaz uygulamanın arka planda instagram.com sunucusu ile doğrulama sonrasında oluşan oturum bilgilerimi cookie parametresi ile payingpos[.]xyz adresine gönderdiğini ve bu ve daha fazla bilgimi /data/data/com.web.lilipostego/shared_prefs/com.web.lilipostego_preferences.xml dosyasına kayıt ettiğini tespit ettim!
Uygulamayı kullanabilmem için en az 10 kişinin beni veya benim 10 kişiyi takip etmem gerektiği için hızlıca takibe takip yapan Instagram hesaplarını takip etmeye başlayarak onların da beni takip etmesini sağladım. Takipçi sayımı arttırıp, takip ettiğim tüm hesapları takip etmeyi bıraktıktan sonra uygulamanın menüleri arasında gezmeye başladım ve profili genele kapalı, gizli olan hesapların içeriğini görüntüleyebildim. Görünüşe göre bu uygulama gelirini, uygulama üzerindeki limitlerin (reklam kaldırma, hikayeleri sınırsız görüntüleme, hesaplara sınırsız bakma, profil görüntüleyenlerin isimlerinin sansürsüz görünmesi gibi) belirli bir ücret karşılığında kaldırılması ile sağlıyordu.
Normal şartlarda güvenli mimariye sahip bir uygulama sizin Instagram bilgilerinize erişmek istediğinde yetkilendirme işlemi için Oauth protokolünden faydalanır ve sizden onay ister fakat Web Postegro & Lili uygulamasında kullanıcıdan izin, onay isteyen bir kısım bulunmuyordu. Bu durumda bu uygulamanın gizli profilleri görüntülemeye, profilleri görüntüleyenleri listelemeye imkan tanıyabilmesi için uygulama üzerinden Instagram’a giriş yapan kullanıcılara ait oturum bilgileri ile Instagram sunucularına bağlanıp tüm bu kullanıcılara ait hesapların bilgilerine sürekli erişmesi gerekiyordu. (session hijack) Bu yöntemi izlediğini anlamak için Web Postegro & Lili uygulamasının payingpos[.]xyz adresine cookie parametresi ile gönderdiği oturum bilgilerinin Instagram hesabıma erişme adına yeterli olduğunu anlamak için Burp Suite ile VPN üzerinden bir test gerçekleştirdim. Web Postegro & Lili uygulaması üzerinden Instagram’a tekrar giriş yaparak uygulamanın sunucuya gönderdiği yeni oturum bilgileri ile Burp Suite üzerinden Instagram hesabımın Login Activity sayfasına (https://www.instagram.com/session/login_activity/) istekte bulunduğumda başarıyla sunucudan yanıt alabildiğimi gördüm! Instagram tarafında hesabına bu şekilde erişenleri anlamamın bir yolu var mı diye Login Activity sayfasına tekrar baktığımda maalesef VPN ile yurt dışından yaptığım erişim görünmüyordu!
Facebook’un güvenlik ekibine bu durumu yukarıdaki ekran görüntüleri ile adım adım, çok defa anlatmış olmama rağmen maalesef en basit dolandırıcılık senaryosuna karşı yapmaları gerekenin ne olduğunu (5 dakika içinde Instagram hesabına önce bir ülken daha sonra ise başka bir ülkeden giriş yapılıyorsa kullanıcıyı uyarılır, Login Activity sayfasında hangi ülkeden bağlantı kurulduysa gösterilir vb.) bir türlü anlayamadılar.
Hesabımın kontrolünü geri kazanmak ve Web Postegro & Lili uygulamasından çıkış yaptıktan sonra geliştiricinin hesabıma erişiminin devam edip etmediğini öğrenmek için Instagram hesabıma Windows üzerinden erişip takip ettiğim kişilerin sayısını 1 arttırdım. Ardından webpostegro[.]net sunucusundan kullanıcıma ait güncel bilgileri getirmesini istediğimde takip etmeye başladığım son kullanıcının bilgilerini de getirebildiğini, kısaca erişiminin devam ettiğini gördüm!
Web Postegro & Lili uygulamasının ve geliştiricisinin Instagram hesabıma, oturumuma olan erişimlerini nasıl engelleyebilirim diye düşünürken Instagram parolamı değiştirmenin işe yarayıp yaramayacağına bakmaya karar verdim ve parolayı değiştirir değiştirmez hesabıma erişemediklerini webpostegro[.]net üzerinden teyit etmiş ve araştırmamı burada sonlandırmış oldum.
Yaptığım araştırmayı kısaca özetleyecek olursam;
Naçizane tavsiye olarak kullandığınız bir sosyal ağ, medya uygulamasının özellikleri arasında profilinizi görüntüleyenleri gösterme gibi hayal ettiğiniz bir özellik bulunmuyorsa, bunu yaptığını vaadeden bir kişi, uygulama, web sitesi vb. ile karşılaştığınızda kullanmadan, güvenmeden önce arka planda hangi bilgilerinizi feda edebileceğinizi hatırlamanızda fayda olacaktır.
Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.
43 comments
4.5
Bu güzel çalışma için emeğinize sağlık
Rica ederim.
Ellerinize sağlık Mert Hocam. Bu yazıların teknik kullanıcıların dışında son kullanıcılar tarafından da okunması farkındalığı arttıracaktır kanaatindeyim lakin teknik kullanıcılar dahi bu tip uygulamaları yükleyebiliyor. Bir söz vardır. “Birşey bedavaysa mutlaka bir çıkar vardır.” Bu tip ücretsiz uygulamalarda truva atı ya da böyle kar amacı giden tuzaklar içerebilir.
Rica ederim.
5
0.5
Ellerine sağlık Mert hocam, gerçekten tam isabet bir konu.
:o)
Eee simdi bu uygulama gercek manada calisiyyor mu calismiyor mu yazida eksiklik var
Uygulama üzerinden Instagram’a giriş yapanların bilgilerini elde ettikten sonra giriş yapanlar arasında vadettiklerini gerçekleştiriyor.
Emeğinize sağlık Hocam her zaman ki gibi kaliteli bir yazı olmuş
Rica ederim.
İşte bunlar hep ameriganın oyunu. :)
Hocam yine harikasın.
:o)
Bu tarz programların sıkıntılı olduğunu ve kişiye büyük zarar vereceğini kullanan kişilere defalarca açıkladım. Ancak elimde bu kadar fazla delil olmadığı için sen çok biliyorsun şeklinde tepkiler ile karşılaştım. Beni haklı çıkartan bir yazı görmek beni mutlu etti ellerinize sağlık hocam.
Rica ederim. Vatandaşlık görevim gereği araştırması ve yazması benden oldu, farkındalık adına paylaşması da sizlerden olsun. :)
Emeğinize sağlık
Emeğinize sağlık hocam…
Hocam çok güzel bir yazı olmuş elinize emeniğize sağlık
Muhteşem bir yazı olmuş hocam. Ben de uygulamayı ilk çıktığından beri şüpheli olarak gördüğümden dolayı incelemeye çalışıyorum. Sizin bulduklarınızdan farklı pek bir şey bulamadım. Sadece ek olarak geliştiricilerin yüksek ihtimalle Türk olduğunu not düşeyim. 8-9 ay önce uygulama ilk çıktıklarında sosyal medyada paylaştıkları videolarda hep Türkçe diline sahip telefonlar, hesaplar kullanılıyordu.
Benim hesabim bu uygalamayi kullandiktan sonra intagram tarafindan kilitlendi şimdi nasıl açilcak bilmiyorum bana yardimci olur musunuz kayitli epostama guvelik kodu gelmiyor
Instagram ile iletişime geçmeniz lazım, bilgim bulunmuyor.
Bana kim baktı ücretli uygulama ile kimlerin baktığını görebiliyprmuyuz?
Maalesef bilgim bulunmuyor.
Merhaba bende sediğinizi uyguladm sıfreyı degıstırdım sımdı, fake hesaptan girdim baktım hala gözüküyor açılıyor profılım vs..
4
Müthiş keyifli ve bilgilendirici… Harikasınız…
:o)
Çok teşekkürler emeğinize sağlık.
Rica ederim.
Hocam tahmin etmiştim çünkü bütün hesaplar yoktu bu uygulamada ayrıca İnstagram Takipçi Hilelerinde de havuz sistemi kullanıyorlardı burda da bunun kullanılmadığından şüpheliydim bariz ortadaydı başka şekildede olamazdı zaten elinize sağlık.
hocam yazılarınız çok güzel fakat yazı boyutlarını büyütüp biraz daha kalın yaparsınız çok daha güzel olacak. Okumakta çok zorluyor bizi :)
1 kademe daha büyüttüm, gözler değerli. :)
Merhaba Mert Bey, güzel içerik için teşekkürler. Benim merak ettiğim husus şu, profile bakanlar listesine düşen kişiler yine postegro kullanıcıları mı yoksa normal kullanıcıları da ifşa edebiliyor mu bu app?
Postegro kullanıcılarıdır.
Merhaba Mert Bey, güzel yazınız için teşekkürler. Kafama takılan bir soru var. Uygulama üzerinden giriş yapıldığında çalınan session cookie belirli bir süre için geçerli değil midir? Öyleyse uygulamadaki oturumu kapatmak cookie’yi geçersiz kılmaz mı? Biraz geç bir soru oldu ama cevaplarsanız sevinirim.
Evet teoride oturum aktif olarak x süre kullanılsa da bir süre sonra sonlandırılması gerekiyor fakat sonlansa da uygulamayı kullanmak için Instagram kullanıcı adı ve parolası ile giriş yapılmasını gerektiği için her daim yeni oturuma ulaşabilir.
Ben lili gbi herhangi bir uygulama kullanmıyorum instagramda profiline baktığım kişiler benim onlara baktığımı görebilir mi
Hayır.
Merhaba ben pastegroyu kullanıyorum premiumum profiline baktığım kişilerde belli olmuyor ismim demi ?
Bu konuda bir bilgim yok.