FBI, 31 Mart 2026 tarihli kamu duyurusunda iPhone ve Android kullanıcılarını ilgilendiren yeni bir güvenlik uyarısı paylaştı. Mesajın merkezinde telefon markası ya da işletim sistemi değil, yüklenen bazı yabancı geliştirici uygulamaların istediği izinler ve bu verilerin nerede tutulduğu var.

Uyarıya göre mesele yalnızca uygulamanın açık olduğu anlarla sınırlı değil. Kullanıcının verdiği izinler sonrasında bazı uygulamalar, cihaz genelindeki verilere daha geniş erişim sağlayabiliyor; üstelik bu risk, uygulamayı hiç kullanmayan kişilerin rehber bilgilerine kadar uzanabiliyor.

FBI’ın uyarısı neden bu kadar geniş bir kullanıcı kitlesini ilgilendiriyor?

FBI’ın yayımladığı metin, yabancı geliştiriciler tarafından hazırlanan ve özellikle ABD’de yaygın kullanılan mobil uygulamalara odaklanıyor. Kurum, bu endişenin yalnızca ABD ile sınırlı olmadığını da açıkça söylüyor.

Dikkat çekilen ana başlıklardan biri, dijital altyapısını Çin’de tutan uygulamaların, ülkenin ulusal güvenlik yasaları nedeniyle kullanıcı verilerini devlet erişimine açık hale getirebilme ihtimali.

Buradaki kritik nokta şu: Sorun tek başına “yabancı uygulama” ifadesi değil. FBI, kullanıcıların uygulama kurulurken hangi izinleri verdiğine, uygulamanın verileri ne kadar süreyle tuttuğuna ve bu verilerin hangi sunucularda işlendiğine dikkat edilmesi gerektiğini söylüyor. Yani risk, çoğu zaman yükleme anındaki birkaç onay kutusuyla başlıyor.

Bazı uygulamalar, kullanıcı izin verdikten sonra veriyi yalnızca kendi içinde değil, cihaz genelinde ve uygulama aktif değilken de toplamaya devam edebiliyor. Rehbere erişim gibi varsayılan izinler açıldığında ise isim, e-posta adresi, kullanıcı kimliği, fiziksel adres ve telefon numarası gibi bilgiler yalnızca kullanıcıdan değil, kişinin kayıtlı kontaktlarından da çekilebiliyor. Bu da konuyu bireysel gizlilikten çıkarıp zincirleme bir veri güvenliği problemine dönüştürüyor.

FBI ayrıca bazı gizlilik politikalarında, toplanan verilerin ve sistem istemlerinin Çin’deki sunucularda geliştiricinin gerekli gördüğü süre boyunca saklanabildiğini belirtiyor. Kuruma göre bazı hizmetler yerel çalışan sürümler de sunabiliyor; bu tür kullanım, bulut tarafına veri gitmesini azaltabiliyor. Ancak bazı uygulamalar, veri paylaşımına onay verilmeden çalışmıyor.

Risk yalnızca veri toplama ile sınırlı değil

Uyarının bir başka ayağı da kötü amaçlı yazılım ihtimali. FBI, bazı uygulamaların kullanıcının verdiği iznin ötesine geçen veri toplama yetenekleri taşıyabileceğini, hatta işletim sistemlerindeki açıklardan yararlanarak arka kapı oluşturabilecek zararlı kodlar içerebileceğini söylüyor. Bu tür senaryolarda cihazdaki başka verilere ya da hesaplara yetkisiz erişim ihtimali de masaya geliyor.

Bu yüzden kurum, en yüksek risk alanlarından birinin resmi mağaza dışı yüklemeler olduğuna işaret ediyor. Açıklamaya göre üçüncü taraf mağazalar ya da tanınmayan internet siteleri üzerinden indirilen uygulamalarda zararlı kod gömülü olma ihtimali daha yüksek. Resmi mağazalar da kusursuz değil, ancak tarama süreçleri nedeniyle risk seviyesi daha düşük kabul ediliyor.

FBI kullanıcılara ne öneriyor?

Kurumun tavsiyesi oldukça net: Gereksiz veri paylaşımını kapatın, yalnızca doğrulanmış resmi mağazalardan uygulama indirin, parolalarınızı düzenli aralıklarla yenileyin, cihaz yazılımını güncel tutun ve indirme öncesinde hizmet koşullarıyla son kullanıcı lisans sözleşmesini okuyun. FBI ayrıca bu risklerin sadece yabancı uygulamalara özgü olmadığını, genel siber hijyen alışkanlıklarının her durumda önemli olduğunu da vurguluyor.

Şüpheli bir durum fark eden kullanıcılar için de ayrı bir yol tarif edilmiş durumda. FBI, verilerinin sızdırıldığını düşünen ya da bir uygulama sonrası olağandışı pil tüketimi, anormal veri kullanımı, yetkisiz erişim veya güvenlik uyarıları gören kişilerin IC3 üzerinden şikâyet oluşturmasını istiyor.

Kurum, başvuruda cihaz türü, işletim sistemi, uygulamanın adı, geliştiricisi, nereden indirildiği, hangi izinlerin verildiği ve hangi verilerin etkilenmiş olabileceği gibi ayrıntıların eklenmesini öneriyor.