Pwn2Own Ireland 2025’te Interrupt Labs’tan siber güvenlik araştırmacıları Ben R. ve Georgi G., Samsung Galaxy S25’teki sıfır gün güvenlik açığından başarıyla yararlanarak etkileyici bir başarı sergiledi.
Bu, cihaz üzerinde tam kontrol sahibi olmalarına, kamerayı etkinleştirmelerine ve kullanıcının konumunu takip etmelerine olanak tanıdı.
Etkinliğin son gününde açıklanan güvenlik açığı, üreticilerin sıkı testlerine rağmen amiral gemisi Android akıllı telefonlarda devam eden güvenlik sorunlarını vurguluyor.
Bu ihlal, küresel cihaz güvenliğini artırmak için güvenlik açıklarının sorumlu bir şekilde ifşa edildiği, etik hackleme yarışmalarının yüksek riskli dünyasının altını çiziyor.
Interrupt Labs ekibi tarafından istismar edilen temel sorun, Galaxy S25’in yazılım yığınındaki uygunsuz bir giriş doğrulama hatasından kaynaklanıyordu; bu hata, saldırganların güvenlik önlemlerini atlamasına ve uzaktan rastgele kod yürütmesine olanak tanıyordu.
Samsung Galaxy S25’te 0 Günlük Güvenlik Açığı
Araştırmacılar, kötü amaçlı girdiler hazırlayarak, bir düşmanın, kullanıcı etkileşimi olmadan cihazı nasıl sessizce ele geçirebildiğini gösterdi; bu teknik, canlı yarışma sırasında Samsung’un savunmasını atlattı.
Etkinlikten önce açıklanmayan bu güvenlik açığı, kalıcı erişimi mümkün kılarak birinci sınıf akıllı telefonu fotoğraf, video ve gerçek zamanlı GPS verilerini yakalayabilen bir gözetim aracına dönüştürdü.
Uzmanlar, bu tür kusurların genellikle hızlı özellik geliştirmenin güvenlik güçlendirmesini geride bıraktığı multimedya veya sistem kitaplıklarında ortaya çıktığını belirtiyor.
Ben R. ve Georgi G., gelişmiş istismar zincirleri sayesinde 5 Master of Pwn puanının yanı sıra 50.000 $ para ödülü kazandılar ve etkinliğin 73 benzersiz sıfır gün boyunca toplam 2 milyon $’lık devasa ödemesine katkıda bulundular.
Zero Day Initiative tarafından düzenlenen Pwn2Own, kusurları sorumlu bir şekilde ifşa eden katılımcıları ödüllendiriyor ve Samsung gibi satıcıların yama için ayrıntılı raporlar almasını sağlıyor.
Samsung, Galaxy S25’teki bu istismara ilişkin henüz spesifik bir açıklama yayınlamadı ancak tarihsel veriler, diğer Android sıfır günleri için yapılan son düzeltmelere benzer şekilde, yakında yayınlanacak bir güvenlik güncellemesinin bu sorunu çözeceğini gösteriyor.
Tam anlamıyla açıklardan yararlanmalar gerçek dünyadaki saldırılarda hassas verileri açığa çıkarabileceğinden, kullanıcılara otomatik güncellemeleri etkinleştirmeleri ve yamalar için resmi kanalları izlemeleri tavsiye edilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
