Google’dan endişe veren açıklama: Samsung, Xiaomi, Oppo… Android telefonlarda veri ihlaline yol açabilecek güvenlik açığı

Teknoloji devi Google, Exynos SoC yonga setleri gibi Mali GPU'ları olan telefonlar için birkaç güvenlik açığını duyurdu. Şirketin Project Zero isimli güvenlik ekibi, sorunları yaz aylarında GPU’ları tasarlayan yarı iletken ve çip tasarımcısı ARM'ye bildirdiğini aktardı. Ancak Android cihazlardaki güvenlik açığı henüz düzeltilmiş değil.

Birleşik Krallık merkezli yarı iletken ve çip tasarımcısı ARM, Google tarafından bildirilen güvenlik açığı sorunlarını Temmuz ve Ağustos aylarında çözdü. Ancak Project Zero araştırmacıları, Samsung, Xiaomi, Oppo ve Google dahil olmak üzere akıllı telefon üreticilerinin bu hafta başlarından itibaren güvenlik açıklarını gidermek için güncelleme yayınlamadığını belirtti. Söz konusu akıllı telefon üreticileri, pazardaki paylarına bakıldığında dünya genelinde kullanılan telefonların büyük bir kısmını elinde tutuyor.

Araştırmacılar, Haziran ve Temmuz aylarında beş yeni sorun belirledi ve bunları derhal ARM'ye bildirdi. Project Zero'dan Ian Beer bir  blog yazısında, "Bu sorunlardan biri çekirdek bellek bozulmasına yol açtı, biri fiziksel bellek adreslerinin kullanıcı alanına ifşa edilmesine ve geri kalan üçü de fiziksel sayfanın ücretsiz kullanım sonrası durumuna yol açtı. Bunlar, bir saldırganın sisteme döndürüldükten sonra fiziksel sayfaları okumaya ve yazmaya devam etmesini sağlar." şeklinde değerlendirme yaptı.

KULLANICI VERİLERİNE ERİŞEBİLİR

Beer, bir bilgisayar korsanının Android'deki izin modelini atlayabilecekleri ve bir kullanıcının verilerine ‘geniş erişim’ elde edebilecekleri için bir sisteme tam erişim elde etmesinin mümkün olacağını kaydetti. Saldırgan, çekirdeği yukarıda bahsedilen fiziksel sayfaları sayfa tabloları olarak yeniden kullanmaya zorlayarak bunu yapabilir.

AKILLI TELEFONLARDA SORUN DEVAM EDİYOR

Project Zero, ARM'nin bu sorunları çözmesinden üç ay sonra, ekibin tüm test cihazlarının hala kusurlara karşı savunmasız olduğunu buldu. Android telefon üreticilerinin bültenlerde güvenlik sorunundan bahsetmediği ve yeni bir güvenlik güncellemesi yayınlamadığı bulundu.

Bir Google sözcüsü teknoloji sitesi Engadget'e yaptığı açıklamada, "ARM tarafından sağlanan düzeltme şu anda Android ve Pixel cihazları için test ediliyor ve önümüzdeki haftalarda teslim edilecek. Android OEM ortaklarının gelecekteki SPL gereksinimlerine uymak için yamayı almaları gerekecek." dedi.

Engadget, düzeltmeleri Android cihazlarına ne zaman dağıtacaklarını ve bunu yapmalarının neden bu kadar uzun sürdüğünü sormak için Samsung, Oppo ve Xiaomi ile iletişime geçti. SamMobile'ın aktardığı bilgilere göre şu anda Samsung'un Galaxy S22 serisi akıllı telefonları ve şirketin Snapdragon destekli telefonları bu güvenlik açıklarından etkilenmiyor. Ancak Exynos işlemcili telefonların büyük bir kısmı güvenlik açıklarından etkileniyor.

(Engadget)