Bir Kyocera Android yazdırma uygulaması, diğer kötü amaçlı uygulamaların cihazlara kötü amaçlı yazılım indirmek ve potansiyel olarak yüklemek için kusuru kötüye kullanmasına izin vererek, amacın uygun olmayan şekilde ele alınmasına karşı savunmasızdır.
Devlet destekli bir portal olan JVN’nin (Japanese Vulnerability Notes) güvenlik bildirimine göre, güvenlik, sorun ve kusur hakkında farkındalığı artırmaya adanmıştır ve CVE-2023-25954 olarak izlenir ve aşağıdaki uygulamaları etkiler:
Uygulamalar farklı yayıncıları listelese de aynı kodu temel alır; bu nedenle, güvenlik açığı üçünü de etkiler.
KYOCERA, dün konuyla ilgili bir güvenlik bülteni yayınlayarak, baskı uygulamasının kullanıcılarını şu anda Google Play üzerinden kullanılabilen 3.2.0.230227 sürümüne yükseltmeye çağırdı.
Satıcının bildiriminde “KYOCERA Mobile Print’in uygulama sınıfı, kötü amaçlı dosyaların indirilmesine neden olabilecek kötü amaçlı üçüncü taraf mobil uygulamalardan veri aktarımına izin verir” yazıyor.
“Ayrıca, KYOCERA Mobile Print web tarayıcı işlevi kullanılarak, kötü amaçlı sitelere erişilebilir ve kötü amaçlı dosyalar indirilebilir ve yürütülebilir, bu da mobil cihazlarda dahili bilgilerin alınmasına yol açabilir.”
Böyle bir saldırının gerçekleşmesi için kullanıcının ayrıca cihazına faydalı yükü indirmeyi tetikleyecek ikinci bir kötü amaçlı uygulama yüklemesi gerekir.
Kusurun ciddiyetini azaltan bu gereksinime rağmen, riskli kod içermesi, kurulum sırasında riskli izinlerin onayını istemesi vb. gerekmeyeceğinden, sorundan yararlanan kötü amaçlı bir uygulamayı dağıtmak kolay olacaktır.
Bunun yerine, bu savunmasız uygulamaların varlığını kontrol etmesi ve kötü amaçlı yazılım yüklemek için bunları kötüye kullanması yeterli olacaktır.
Riski azaltmak için Android 14
Yaklaşan Android 14 sürümü, niyetleri daha güvenli bir şekilde ele alacak, ilişkili riskleri azaltacak ve “gizli gizli” veri alışverişlerinin gerçek doğasını gizlemeyi zorlaştıracak şekilde hazırlanıyor.
Android 14’ten itibaren, uygulamalar arasındaki niyet alışverişi kısıtlanacak ve gönderici tarafından belirli alıcıların tanımlanması, bir uygulamanın diğer uygulamalardan hangi bilgileri alması gerektiğinin beyan edilmesi ve alıcıların sistem yayınlarıyla sınırlandırılıp sınırlandırılmaması gerekip gerekmediği kısıtlanacaktır. .
Bu güvenlik geliştirmesi, yazdırma yardımcı programları gibi ayrıcalıklı uygulamaları, aynı cihazda çalışan diğer uygulamalar tarafından gönderilen kötü amaçlı amaçlardan koruyacaktır.