1.Not: Turkcell 2020 yılında 134 patent başvurusu yapmış. Bunlardan 2 tanesi ilginç. Biri 4 Kasım diğeri 6 Kasım 2020. Turkcell mühendislerinden 2 si tarafından 2 buluş ! yapılmış. Biri sizin Turkcell BIP yazışmalarına bakacak duygu analizi yapacak ve size müzik önerileri yapacak. Diğeri ise yine sizlerin BIP yazışmalarınızdan sizin psikolojik durumunuzu tespit edecek olan patent başvurusu… Yani ben Turkcell BIP yazılımında LOG tutuyorlar hem de çok fazla veri alıyorlar diye aşağıdaki Turkcell BIP incelememi yazmıştım ya.. Turkcell BIP ekibi de kabul etmek zorunda kalmıştı.. Olay bakın nerelere gidiyor.. Uçtan uca şifrelemeye hiç takılmayın…
Yukarıda bahsedilen konunun daha fazla detayına aşağıdaki linkten ulaşabilirsiniz
Turkcell, yazışmalarımızın içeriğine göre müzik önerecek, psikolojik durumumuzu analiz edecek
2. Not: Bu yazı 22.11.2018 tarihinde ki en son Google Play Store APK dosyası baz alınarak yazılmıştır.. 2020 yılının sonunda en yeni APK sı ile yapılan çalışmada burada o tarihte yazılan yazımdaki tüm bilgilerin kullanılan teknolojiler açısından aynen geçerli olduğu hatta bazı server sayılarının artırıldığı (SIP server sayısı 5 den 17 ye çıkmış görünüyor) , kod içine gömülmüş olan hassas verilerin çıkarıldığı ve veritabanından bildiğimiz bir teknikle mobil cihaz bağlandığında alındığı; 2 yıl önceki yazılımda CURIO dediğimiz kişinin analitik yani bir çok bilgisinin her an cihazın lokal veritabanina kaydedildiği ve zaman zaman senkronize mekanizmasıyla Turkcell ana bilgisayarlarındaki veritabanlarina aktarıldığı yazılımın yerine şu an LOG dediğimiz bilgilerin curio dan daha yoğun şekilde bu defa lokal bir dizinde sınıflandırma ile (türleri ayırmak için, yani hata log mu yoksa kişinin x bilgisi mi vb) tutulduğunu ve daha sonra aynen curio da olduğu gibi Turkcell e gönderildiğini görüyorum. Fark nedir derseniz webrtc yi de kullanmaya başladıklarını görüyorum o kadar.. WebRTC burada web browser dan da yani Chrome, safari vb ile görüntülü görüşme desteği için gelmiş. Kodlar oldukça değişmiş eklemeler yapilmiş yeni kütüphane ler eklenerek özellikler artırılmaya çalışılmış ANCAK aşağıda bahsettiğim teknolojiler aynen yazılımın ana ve belkemiği olarak aynen kullanılmaktadır.. Tüm veri ve kanıtlar bendedir..
Bir de 2021 in ilk günlerinde Whatsapp, Telegram, Signal ve Turkcell BIP konuları içinde uçtan uca verinin kriptolanıp gönderildiği ve güvenli olduğu efsanesi anlatılıyor.. Bu yaklaşım evet var ama firmalar bunu veri internette karşıya giderken tamper dediğimiz küçük parçaların alınıp anlamlandırılamayacağını söylemeleri üzerinden görüyoruz.. Yani sizi dinleyemezler denmeye çalışıyor.. Halbuki sorun bundan daha çok bu yazılımların veriyi uçtan göndermeden önce kriptosuz saklayıp saklayamayacağı.. Evet saklayabiliyorlar.. O kadar kolay ki …
Bu arada gördüğüm kadarıyla Turkcell BIP uçtan uca kriptolama sürecinde aşağıdaki gibi kriptolama çözümü kullanıyor :
- Parola tabanlı şifre üretmede : PBKDF2HMACSHA1
- Video ların encryption ı yani kriptolanması için AES-CTR encryption
- Text yani mesajlarin kriptolanması için de AES/CBC/PKCS5Padding encryption var..
Bu yazıdan sonra IM – Instant Messaging yani anında mesajlaşma ve görüntülü görüşme teknolojilerinin altyapısını , neleri içerdiğini, nasıl kurulduğunu ve her türlü detayını içeren 3 bölüm halinde yayınladığım yazılarımı da okumanızı tavsiye ederim..
Şimdi aşağıda 2018 yılı sonunda incelediğim BIP yazılımının o zaman yazdığım makalesine gelelim..
Turkcell BIP incelemesi denilince aklınıza ne gelir? Mobil den bunu çalıştırıp nasıl kullanılıyor değil mi?
Onu çoluk çocuk yapsın biz daha derinine dalıp altındaki teknolojiyi ve varsa kötü yazılım mı değil mi ona bakalım ne dersiniz..
Önce yazılımı bir kıralım ve kaynak kodlarına bakalım.. Kaynak kod bence iyi obfuscation yapılmamış. Sanıyorum paraları yetmeyince örneğin android için paralı proguard vb sürümünü almamışlar !. Kodu çok iyi karıştırmışlar diyemem.
Turkcell BIP XMPP server olarak EJABBERD kullanıyor. (Whatsapp ile aynı) Bu server IM yani anında mesajlaşma ve bazan da webrtc veya SIP de veya başka bir yaklaşımla arama olaylarında signaling server olarak da kullanılabiliyor. Çok yüksek kullanımlar için ideal. Kendi XMPP server larını kullanıyorlar. Adresi xmpp.turkcell.com.tr .. Tabii XMPP kullanılırsa SMACK kullanımıda olması lazım ki Turkcell bunu da client tarafta kullanıyor. Görüntülü görüşme için webrtc yerine SIP+LINPHONE kullandığını gördüm. SIP i signaling olarak kullanıyor mutlaka. Ses ve görüntülü görüşmeyi LINPHONE ve kütüphanesi sağlıyor. Bunların yani XMPP ve SIP in aynı anda kullanılmasının bazan performansta (authentication vb) azalmalara yol açtığını söyleyebilirim. SIP servis ve serverları da kendilerinin. 5 tane SIP server saydım kod içinde. SIP Server aslında FLEXISIP server.. LINPHONE kütüphanesi içinde özellikle chat ve dosya paylaşımı vb destek var ancak yüksek yoğunluklu mesaj için XMPP Ejabberd kullanmak çok mantıklı.. Dosya paylaşımı için whatsapp örneğin http server ile bu işi hallediyor ve ilk yıllarında veriyi kriptolamak yoktu sonradan uçtan uca yaptılar ki Turkcell burada LINPHONE kütüphanesinin bu özelliklerini kullanıyor görünüyor..
REST uçlarını çağırmak için retrofit kütüphanesi kullanılmış.
Bazı sabit server, token vb değerler olduğu gibi onlarcası açıkta kod içinde. Bunu neden yapmışlar anlamak mümkün değil. Sadece bir IP den bu ayarları veritabanına bağlanıp alırsınız.. Koda gömmüşler. Bu çok çok kötü. Bir çok açıdan zarar görebilirler. Test ve Production serverlarının tamamının adresleri var. Bazı account ve password ler de sanki oralarda..
Örneğin bu sabitlerden biri: http://testtims.turkcell.com.tr/scontent/caps/publishcaps.json
Bunu browser a yazıp enter leyin. Ne geldi? Tüm emojilerle ilgili bilgiler değil mi? Gelen JSON formatındaki veri de 2. Satırda mesela şu var:
testtims.turkcell.com.tr\/scontent\/caps\/7b219d59f3d314c32dd5fc6722712439.jpg
Buradaki \ ları silin ve basinada http:// koyun bakin hangi emoji gelecek !.
Ayrıca mesajlaşmada kriptolama yapılıyor mu diye baktım. Kriptolama metodları var ancak yüzde yüz yapılıyor mu kendimi yorup daha derin dalış yapmak istemedim. Sanki yapılıyormuş izlenimi edindim. Boşuna o kodları oraya koymamışlardır diye iyimser düşünüyorum.
Yukarıda belirttiğim gibi Video ve sesli görüşme için BelleDonne firmasının LINPHONE kütüphanesini kullanmışlar. Ayrıca Google ın i18n (internationalization) ve gerekli MetadataProto larını da kullanmışlar.
LINPHONE ve WebRTC arasındaki farklari gözeterek LINPHONE a gitmişler diye düşünüyorum. (2020 yılında WebRTC yi de Web Browser dan görüntülü görüşme desteği için yazılıma dahil etmişler.) Sebebi MS IE ve Apple Safari browser larında webrtc desteği yok. Ayrıca farklı telefon gateway leri için interoperable değil diye düşünmüş olabilirler. Bir de hem IOS hem de Android için LINPHONE kütüphaneleri var ki bence en fazla bu sebep olmuş gibi duruyor. Halbuki webrtc kullansalar hem daha kolay hem de sadece STUN+TURN server kullanacaklar ve signaling için zaten ellerinde SIP yerine Ejabberd XMPP var. ! Ancak kriptolama dahil her şeyi sizin için yapan bir kütüphane varsa tabii kullanmazsınız.. Üstelik görüşme kayıtlarını da hem chat hem görüntü için istenirse tutma desteği de var ve kullanıyorlar…
Bundan başka bazı model cep telefonları için ve bu telefonlardaki belli android sürümlerinde bazı özellikler demek ki çalışmadığı için özellikle kod içinde bunlar teste tabi tutulup işlem yapılmış. Modelleri yazmayayım buraya.
CURIO yu duydunuz mu? Duymadınız değil mi? Turkcell in mobil analitik yazılımı. Bu Turkcell BIP in içi bununla bezenmiş. Sizin her türlü hareketinizi yazıyor bir yerlere kaydediyor.! Ayrıca cihazınız ile ilgili her türlü bilgiyi de kaydediyor. Yok derlerse inanmayın. Turkcell neden bu BIP i ortaya çıkardı ki. Bilgiye sahip olan kazanır.
Genelde iyi kod yazılmamış. Tek güzel EJABBERD kullanmaları. Diğer işleri farklı halledebilirlermiş. Hem performansta hem de görüntülü görüşmede problemler yaşamaları mümkün. Mesajların yavaş gitmesi vb., dosya paylaşımların yapılamaması.. Ejabberd server harika ama kullanmayı bilirseniz. 4.5G yerine bence 3G kullanın. Piliniz bataryanız bitmesin. 4.5G ye sizi teşvik etselerde kullanmayın çok çabuk pil bitiriyor. Bir de arka planda bu analitik curio ile sip ve xmpp de yazılan koda göre pili bitirebilir diye düşünüyorum. Benim incelediğim versionda paket içinde 1622 emoji var idi.
Böyle bir uygulama ne kadar zamanda yazılır derseniz android için en fazla 1-1.5 ay derim. 1 kişiyle bu kadar sürede yazılır. 2 kişiyle süre kısalmaz.
Benden bu kadar..
Kalın sağlıcakla
Selcuk Celik
Hello my name is David,
I want to very first begin by stating your website is amazing!
I feel like you can use a bit more text content though.. and I understand it’s quite frustrating creating it all yourself.
Do you happen to In addition have issues making Reports, Guides, Digital Info for you product & services or perhaps E-BOOKS?
Simple things like even including an E-book can assist you acquire countless brand-new leads per month!
New innovative technology has JUST been released that enables you to INSTANTLY create expert Ebooks, Reports, Guides, Lead Magnets, Whitepapers, and digital info-products AUTOMATICALLY, and “ON-DEMAND” … at a push of a button!
> https://sqribble.site/
17 eylul tarihli bir yaziya David kullanicisi 12 nisan da bir yorum yapmis. ilginc geldi dogrusu.
Neyse konu ile ilgili olarak bir uygulamanin baska firmalardan moduller kullanmasi cok dogal, hatta cogu zaman kendisi yapmasindan kat ve kat daha iyi. Muhim olan bunun dogru bir sekilde beyan edilmesi. Benim beklentim bu yonde. Diger sabit adresler, sunlar bunlar tabi ki BiP ekibinde duzgun bir kod kontrolu olmamasindan kaynaklaniyor. “Agile” olacagiz derken “fragile” oluyorlar.
BiP in beni bir deger rahatsiz eden seyi icini gereksiz bir suru uygulama ile doldurmalari. THY checkini niye BiP den yapayim anlamis degilim, veya kurlara neden oradan bakayim. Her isi yapmasi gereksiz ama yapmasi gereken tek isi iyi yapsin yeterdi.
Tamamen katılıyorum..
where is the bip server
u r so curious !.. they have datacenters everywhere … most likely in Turkey
herkesin kafasının karışık olduğu şu sıraları bu programlarla ilgili teknik incelemeye aslında ihtiyaç var. hele youtube’da yapsan bu tarz bir şeyi sende kazanırsın bizde öğreniriz be hocam 🙂
Bazı yazılımları teknolojik incelemeye bazı yazılımları da açıkları incelemeye tabii tutuyorum.. Turkcell in açıkları bende saklı kalsın.. Ben milli ve yerli cümlesi ve bizden sakladıkları ve benim açıklayabileceğim ne var diye olaya baktım.. Video yaparsam kontrolü kaçırırım..
Merhaba ; Bip i web siteme eklemek istiyorum, müşterilerim tıklayıp bana mesaj göndersinler diye. Whatsapp da şöyle bir özellik vardı ” https://api.whatsapp.com/send?phone=908503055698&text=Merhaba ” istediğimiz numaraya mesajı telefonumuzdaki uygulamayı açarak gönderiyordu. Bu bip de varmı acaba teşekkürler.
Turkcell e sormanız lazim.. ASlında çok kolay yapması ama çok işleri vardır..
Bildiğim kadarı ile açık kaynaklı bir kod kullandığında bunu resmen ilan etmek ve o kısımları senin de açman gerekiyor (yanlışım yoksa!)
Peki turkcell bunu yapmış mı? 🙂
Bilmem