Samsung’un amiral gemisi Galaxy S25 akıllı telefonundaki kritik bir sıfır gün güvenlik açığı, Pwn2Own İrlanda 2025’te başarıyla kullanıldı ve saldırganların cihazın kamerasını nasıl sessizce etkinleştirebildiğini ve kullanıcının gerçek zamanlı konumunu nasıl takip edebildiğini gösterdi.
Interrupt Labs’tan güvenlik araştırmacıları Ben R. ve Georgi G., yarışmanın son gününde bu karmaşık istismarı ortaya çıkardılar; 50.000 dolar para ödülü kazandılar ve siber güvenlik camiasında değerli bir itibar kazandılar.
Güvenlik Açığı ve Atılım
Temel sorun, Galaxy S25’in yazılım yığınındaki hatalı giriş doğrulamasından kaynaklanıyor. Araştırmacılar, kötü amaçlı girdileri dikkatli bir şekilde işleyerek Samsung’un güvenlik savunmasını aştı ve herhangi bir kullanıcı etkileşimi gerektirmeden cihaz üzerinde uzaktan kontrol elde etti.
Bu, bir saldırganın herhangi bir açık izinsiz giriş belirtisi bırakmadan bir telefonu sessizce tehlikeye atabileceği anlamına gelir.
Güvenlik açığı etkinlikten önce açıklanmadı ve Samsung’un sıkı güvenlik testlerinin bile yakalayamadığı bir açığı ortaya koydu.
Açıklardan yararlanma zincirinin, cihaza kalıcı erişim sağlayacak kadar karmaşık olduğu kanıtlandı.
Saldırganlar içeri girdikten sonra fotoğraf ve video çekmek için kamerayı ele geçirebilir, kullanıcının GPS verilerini gerçek zamanlı olarak izlemek için konum izlemeyi etkinleştirebilir ve telefonda depolanan diğer hassas bilgilere potansiyel olarak erişebilir.
Bu kadar güçlü yetenekler, birinci sınıf bir akıllı telefonu isteksiz bir gözetim aracına dönüştürüyor.
Güvenlik uzmanları bu tür kusurları multimedya ve sistem kitaplıklarındaki hızlı gelişim hızına bağlıyor; burada özellik ilerlemesi bazen güvenlik güçlendirmesini geride bırakıyor.
Bunun gibi sıfır gün güvenlik açıkları, üreticilerin giderek daha karmaşık hale gelen cihazların güvenliğini sağlama konusunda karşı karşıya kaldığı zorlukların altını çiziyor. Güvenilir markaların amiral gemisi telefonları bile gelişmiş saldırganların hedefi olmaya devam ediyor.
Interrupt Labs ekibinin başarısı, 5 Master of Pwn puanı kazanarak Pwn2Own Ireland 2025’in etkileyici toplamına katkıda bulundu: 73 benzersiz sıfır gün güvenlik açığı karşısında 2 milyon dolarlık ödeme.
Zero Day Initiative tarafından düzenlenen bu yarışma, etik araştırmacıları kusurları keşfetmeye ve sorumlu bir şekilde açıklamaya teşvik ederek küresel siber güvenlikte önemli bir rol oynuyor.
Samsung, Galaxy S25’in bu istismarına ilişkin henüz belirli bir kamu açıklaması yayınlamadı. Ancak şirketin geçmişte benzer Android güvenlik açıklarını nasıl ele aldığı göz önüne alındığında, bu kusuru gideren bir güvenlik güncellemesinin yakında gelmesi bekleniyor.
Sorumlu açıklama süreci, Samsung’un mühendislerin yamaları halka açık hale getirmeden önce geliştirmelerine ve test etmelerine olanak tanıyan ayrıntılı teknik raporlar almasını sağlar.
Galaxy S25 kullanıcıları için en iyi savunma, otomatik güncellemeleri etkinleştirmek ve Samsung’un resmi güvenlik kanallarını düzenli olarak kontrol etmektir.
Cihazınızı tamamen yamalanmış durumda tutmak, saldırganların gerçek dünya senaryolarında bu boşlukları istismar edebilmesinden önce sıfır gün açıklarını kapatmanın en etkili yolu olmaya devam ediyor.
Yama gelene kadar hassas faaliyetlerde bulunan kullanıcıların, cihazlarının davranışları ve izinleri konusunda dikkatli olmaları gerekiyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.