Google’daki siber güvenlik araştırmacıları on sekiz sıfır gün güvenlik açığı belirledi ve bunlardan dördü, Bilgisayar Korsanlarının yalnızca kurbanın telefon numarasını kullanarak akıllı telefon cihazlarını uzaktan ele geçirmesine izin verdi.
Google’ın hata arama ekibi Project Zero, Exynos modemlerini etkileyen 18 kadar güvenlik açığı keşfettiğinden, Google Pixel ve Samsung telefon sahipleri dikkatli olmalıdır.
Bildirildiğine göre, bu güvenlik açıkları birleştirilirse, bir saldırganın kullanıcıyı uyarmadan bir akıllı telefon üzerinde tam kontrol sahibi olmasına izin verebilir. Bu güvenlik açıklarına karşı savunmasız olan cihazlar şunları içerir:
- Google Pixel 6 ve Pixel 7 serisi
- Vivo S16, S15, S6, X70, X60 ve X30 serisi
- Samsung S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 ve A04 serileri.
Ayrıca Galaxy Watch 4 ve 5 gibi Exynos W20 yonga setini kullanan giyilebilir cihazlar ve Exynos Auto T5123 yonga setini kullanan araçlar da savunmasız durumda.
Project Zero başkanı Tim Willis’e göre, bu sıfır gün güvenlik açıkları 2022’nin sonlarında ve 2023’ün başlarında bulundu. 18 güvenlik açığından dördü, saldırganların yalnızca kurbanın telefon numarasını kullanarak uzaktan telefonun güvenliğini aşmasına izin veriyor.
Ek olarak, yetenekli tehdit aktörleri, etkilenen cihazları “sessizce ve uzaktan” tehlikeye atmak için hızlı bir şekilde operasyonel bir istismar oluşturabilir. Bu dört kusur, hepsinden en önemlisidir.
Project Zero tarafından gerçekleştirilen testler, bu dört güvenlik açığının, bir saldırganın herhangi bir kullanıcı etkileşimi olmaksızın temel bant düzeyinde bir telefonu uzaktan ele geçirmesine izin verdiğini ve yalnızca saldırganın kurbanın telefon numarasını bilmesini gerektirdiğini doğruladı.
Google Projesi Sıfır
İstismarlardan birine bir CVE (Common Vulnerabilities and Exures) numarası, CVE-2023-24033 atanmıştır ve Google, önceki hata açıklamaları göz önüne alındığında nadir görülen bir durum olan bu numarayı engellemiştir. Bu kusurda, etkilenen temel bant modeli yonga kümeleri, SDP modülünün belirttiği biçim türlerini kontrol etmez ve bu da bir hizmet reddi saldırısına yol açar.
Bu nedenle, bir saldırgan telefonu uzaktan kilitleyebilir ve kullanıcının telefonu kullanmasını engelleyebilir. Google’ın Mart 2023 güvenlik güncellemesinde düzeltildi ve zaten Pixel 7 serisi telefonlarda uygulandı. Ancak, Pixel 6 Pro ve Pixel 6a dahil olmak üzere Pixel 6 serisinde henüz yok.
Diğer 14 güvenlik açığı o kadar kritik değil. CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 ve CVE-2023-26076 dahil olmak üzere bazılarına CVE atanırken, 9 tanesi hala CVE’leri bekliyor.
Saldırganların bunlardan yararlanmak için kötü niyetli bir mobil ağ operatörüne veya cihaza yerel erişime ihtiyacı olacağını belirtmekte fayda var. İmkansız gibi görünse de, Haziran 2022 tarihli bir rapor, İSS’lerin kötü niyetli tehdit aktörlerine kurban cihazlarına kötü amaçlı yazılım yüklemelerinde yardımcı olduğunu gösteriyor.
Google’ın blog gönderisine göre, ABD’deki Samsung Galaxy S22 sahipleri için iyi haber, telefonlarında Samsung Exynos yonga seti değil, Qualcomm yonga seti olması, bu nedenle cihazlarının savunmasız olmaması. Ancak aynı telefonun Avrupalı sahipleri o kadar şanslı değil. Bu nedenle yamasız cihaz kullananların Wi-Fi Arama ve VoLTE’yi (LTE üzerinden ses) devre dışı bırakması gerekir.
- VIN numarasını bilerek Honda ve Nissan Arabalarını Hacklemek
- Telefon Numarasını Bilerek Facebook Hesabını Hacklemek
- Yeni saldırı vektörü ReVoLTE, bilgisayar korsanlarının telefon görüşmelerini izlemesine olanak tanır
- Hacker, Instagram hesabını kullanarak Avustralya Başbakanı’nın pasaport numarasını buldu
- PlayStation seri numarası, Federallerin büyük bir uyuşturucu çetesini çökertmesine yol açıyor