Milyonlarca Google Pixel cihazında önceden yüklenmiş bir uygulamada bulunan 7 yıllık kritik bir güvenlik açığı ortaya çıkarıldı. Bu güvenlik açığı, olası uzaktan kod yürütme ve veri ihlallerine olanak sağlıyor. Google sorunu kabul etmiş olsa da, bu ciddi tehdidin ele alınmasındaki gecikme kullanıcı güvenliği konusunda endişelere yol açtı.
Iverify’daki araştırmacılar, 2017’den beri Pixel cihazlarında gizlenen ve milyonlarca Google Pixel kullanıcısını riske atma potansiyeline sahip kritik bir güvenlik açığı keşfetti. Güvenlik açığı, gereksiz sistem ayrıcalıklarına sahip önceden yüklenmiş bir uygulamada bulunuyor ve saldırganların kötü amaçlı kod enjekte etmesine ve potansiyel olarak cihazları ele geçirmesine olanak tanıyor.
Söz konusu uygulama, uzaktan erişim, ebeveyn denetimi ve veri temizleme araçları sağlayan bir Amerikan yazılım şirketi olan Smith Micro tarafından Verizon için tasarlanan Showcase.apk’dır. Bu uygulamanın Pixel’leri demo cihazlara dönüştürmek için kullanılması gerekiyor. Ancak, saldırganlara cihazı tehlikeye atma yolu veren bir arka kapı içeriyor.
iVerify’ın EDR yeteneği, Palantir Technologies’e ait bir Android cihazının güvenli olmadığını tespit etti ve Palantir ile Trail of Bits’i içeren bir soruşturmaya yol açtı. Soruşturma, Showcase.apk Android uygulama paketinin işletim sistemini bilgisayar korsanlarına karşı savunmasız hale getirdiğini, aracı saldırılara, kod enjeksiyonuna ve casus yazılıma izin verdiğini ortaya çıkardı.
Google’ın bir ürünü olmamasına rağmen Showcase, uzaktan kod çalıştırma ve kullanıcı onayı olmadan yazılım yükleme gibi endişe verici yetenekler de dahil olmak üzere köklü sistem ayrıcalıklarına sahipti.
Bu güvenlik açığı milyarlarca dolarlık veri kaybı ihlallerine yol açabilir. Daha da kötüsü, uygulama yapılandırma dosyalarını korumasız bir HTTP bağlantısı üzerinden indirir, bu da saldırganların uygulamayı ele geçirmesine ve cihazın tam kontrolünü ele geçirmesine olanak verebilecek bariz bir güvenlik açığıdır.
Olan şey, uygulama paketinin güvenli olmayan HTTP üzerinden bir yapılandırma dosyası alması ve bunun bir arka kapı açabilecek sistem komutlarını veya modüllerini yürütmesini sağlayarak siber suçluların cihazı tehlikeye atmasına olanak vermesidir. Doğal olarak kötü amaçlı olmadığından, güvenlik teknolojisi bunu göz ardı edebilir ve uygulama sistem düzeyinde ve aygıt yazılımı görüntüsünün bir parçası olarak yüklenir, bu da kullanıcı düzeyinde kaldırılamaz hale getirir.
Bilginize, Showcase.apk bir telefonu demo cihaza dönüştüren ve işletim sistemini değiştiren sistem düzeyinde bir koddur. Ayrıcalıklı bir bağlamda çalışır ve bir etki alanını doğrulamama, güvenli olmayan varsayılan değişken başlatma kullanma, yapılandırma dosyalarını değiştirme, zorunlu olmayan dosyaları işleme ve HTTP üzerinden önceden tanımlanmış bir URL ile güvenli olmayan bir şekilde iletişim kurma gibi sorunlara neden olur.
Uygulamanın Pixel’lere önceden yüklenmesinin kesin amacı henüz netleşmemiş olsa da, kullanıcılar için önemli bir güvenlik riski oluşturuyor. Uygulama standart yöntemlerle kaldırılamıyor. Google sorunu kabul etmiş ve bir düzeltme sözü vermiş olsa da, bu kritik güvenlik açığının giderilmesindeki gecikme endişelere yol açtı.
“Bu bir Android platformu veya Pixel güvenlik açığı değil, Smith Micro tarafından Verizon mağaza içi demo cihazları için geliştirilen bir apk’dir ve artık kullanılmamaktadır,” diye belirtti bir Google sözcüsü. “Bu uygulamanın bir kullanıcının telefonunda kullanılması hem cihaza fiziksel erişim hem de kullanıcının şifresini gerektirir. Herhangi bir aktif sömürüye dair hiçbir kanıt görmedik.”
Google, APK hakkında diğer Android üreticilerini bilgilendireceğini belirterek, Verizon’a ait Showcase uygulamasının Verizon tarafından satılan tüm Android cihazlarda zorunlu olduğunu belirtti.
iVerify araştırmacıları blog yazılarında, “Showcase.apk’ya yalnızca çok az sayıda cihazın ihtiyaç duyacağı halde Google’ın neden her Pixel cihazına üçüncü taraf bir uygulama yüklediği bilinmiyor” ifadelerini kullandı.
Showcase’in varsayılan olarak devre dışı olduğunu ve etkinleştirmek için bir cihaza fiziksel erişim ve sistem parolasının bilinmesi gerektiğini belirtmek önemlidir. Ancak, özellikle modern siber saldırıların karmaşıklığı göz önüne alındığında, uzaktan istismar potansiyeli göz ardı edilemez.
Synopsys Yazılım Bütünlüğü Grubu’nda Kıdemli Güvenlik Danışmanı olan Sergio A. Figueroa, bu konuda yorum yaparak, “Yeni bir akıllı telefon satın aldığınızda, ona güvenirsiniz. Donanımın ve işletim sisteminin beklendiği gibi çalışmasını ve herhangi bir bariz güvenlik açığıyla gelmemesini beklersiniz, ancak varsa, en azından birkaç yıl boyunca bunları hafifleten zamanında güncellemeler almayı beklersiniz..”
“Ama bu güven ne kadar esnetilmeli?” diye savundu Sergio. “Farklı aktörler sisteme kendi yorumlarını katmak isteyebilir. Orijinal ekipman üreticisi (Samsung, Nokia veya HTC gibi) kullanıcı arayüzünü değiştirecek ve kendi birkaç uygulamasını yaratacaktır. Mobil operatör veya size telefonu satan perakendeci karışıma sadece birkaç uygulama ekleyebilir. Bu aktörlerden bazıları belirli uygulamaları veya hizmetleri göndermek için üçüncü taraflarla anlaşmalar yapabilir,” dedi.
“Bu özelleştirmelerin akıllı telefonlara yerleştirilme şekli nedeniyle, çoğu kullanıcının beğenmedikleri uygulamalardan kurtulması zor. Başka bir deyişle, kullanıcılardan güvenlerini esnetmeleri isteniyor: yalnızca işletim sistemine değil, aynı zamanda ihtiyaç duyabilecekleri veya duymayabilecekleri ve belirli kalite ve güvenlik standartlarına uyup uymayabilecekleri bir sürü uygulamaya da güvenmeleri gerekiyor,” diye açıklıyor Sergio. “İşletim sisteminin birkaç yıl boyunca güvenlik güncellemeleri alacağı garanti edilse bile, mobil operatör tarafından yüklenen hava durumu uygulaması için bu garanti edilmiyor.”
“Bu önceden yüklenmiş yardımcı programlar bir yük haline geliyor: birçok cihaza yükleniyorlar, kaldırılmaları veya devre dışı bırakılmaları zor ve gerçek işletim sistemiyle aynı güvenlik standartlarına tabi değiller. Bunların savunmasız olduğunu ve bu savunmasızlığın çok sayıda kullanıcıyı etkilediğini duymak şaşırtıcı olmamalı. Bu vaadin yükünden kurtulmuş bir yazılımla birlikte sunulacaksa, işletim sistemi düzeyinde yedi yıllık güvenlik güncellemeleri vaat etmenin pek bir anlamı yok,” diye sonlandırdı.
İLGİLİ KONULAR
- Rafel RAT Kullanımı 3,9 Milyar Android Cihazı Tehlikeye Atıyor
- 400 çip hatası 3 milyar Android telefonu casusluk aracına dönüştürüyor
- 1 milyar kullanıcısı olan Android uygulaması kusurları düzeltemedi; kötü amaçlı yazılım riski var
- Yeni Android Casus Yazılımı Oyunculardan ve TikTok Kullanıcılarından Veri Çalıyor
- Dünya çapında her 5 Android cihazdan 2’si güvenlik açığına sahip – Bu bir milyardan fazla