Google, yakında piyasaya sürülecek olan Android 14’te kullanıcılar ve kuruluşlar için kullanılabilecek yeni hücresel güvenlik hafifletmelerini açıkladı ve Chrome Mevcut Ürün kanal güncellemeleri için yeni bir yayın takvimi duyurdu.
Android 14’te ağ güvenliğini artırma
2G hizmeti çoğu büyük ağ taşıyıcısı tarafından kapatılmış olsa da, birçok cihaz hala azalan 2G hücresel ağlara bağlanabiliyor.
Google, “Bu, 2G mevcut tek ağ olduğunda otomatik olarak gerçekleşir, ancak bu aynı zamanda kötü amaçlı bir saldırıda uzaktan tetiklenebilir, sessizce cihazların yalnızca 2G bağlantısına geçmesine neden olabilir ve böylece 2G olmayan herhangi bir ağı göz ardı edebilir.”
Bu yetenek, cihazları Stingray saldırıları da dahil olmak üzere çeşitli saldırı türlerine karşı duyarlı hale getirebilir.
“Vatozlar, Pegasus kötü amaçlı yazılımını potansiyel olarak gazetecilerin telefonlarına yüklemekten, yüzbinlerce kullanıcıyı tek bir saldırı ile etkilediği iddia edilen gelişmiş bir kimlik avı planına kadar birçok senaryoda kullanılan belirsiz ama çok güçlü gözetleme ve müdahale araçlarıdır. [false base station]Google açıkladı.
“SMSishing yüklerini enjekte etmek için muhtemelen cihazın bağlantılarını 2G’ye indiren bu Stingray tabanlı dolandırıcılık saldırısı, 2G bağlantısının risklerini vurguladı.”
Yakında piyasaya sürülecek olan Android 14 ile Google, BT yöneticilerinin ve kullanıcıların sırasıyla yönetilen ve kişisel cihazlarda 2G desteğini devre dışı bırakmasına olanak tanıyacak.
Ek hücresel güvenlik için Google, kullanıcıların ticari ağlar tarafından hala yaygın olarak kullanılan ve kullanıcı sesini ve SMS trafiğini ele geçirmeye maruz bırakabilen hücresel boş şifre desteğini devre dışı bırakmasına olanak tanıyan bir seçeneği duyurdu.
Şirket, “Bazı ticari Stingray’ler, cihazları şifrelemenin ağ tarafından desteklenmediğine inandırmak için işlevsellik sağlıyor, böylece bağlantıyı boş bir şifreye indiriyor ve trafik müdahalesini mümkün kılıyor” diye ekledi.
Hücresel boş şifre desteğini devre dışı bırakan seçenek, en son radyo donanımı soyutlama katmanını (HAL) benimseyen cihazlarda kullanılabilir. Kullanıcılar, şifrelenmemiş bir bağlantı üzerinden acil durum aramaları yapmaya devam edebilecek.
Chrome güvenlik güncellemelerini hızlandırma
Chromium’un açık kaynaklı bir proje olması nedeniyle kaynak kodu, herkesin gözden geçirmesi veya değişiklikleri göndermesi için kullanılabilir. Bu yararlı olsa da (düzeltmeleri test etmek, hataları keşfetmek), tehdit aktörlerinin yamalı sürümü henüz almamış kullanıcılara potansiyel olarak zarar verebilecek istismarlar oluşturmasına da yardımcı olabilir.
Chrome 116’nın kullanıma sunulmasıyla birlikte, Mevcut ürün kanalı güncellemeleri haftalık olarak kullanıcılara sunulacaktır.
“Chrome, yama açığını azaltmaya yardımcı olmanın bir yolu olarak Chrome 77 ile 2020’de iki haftada bir Mevcut ürün kanalı güncellemeleri yayınlamaya başladı. Chrome 77’den önce yama açığımız ortalama 35 gündü. İki haftada bir yayınlanma temposu değiştirildiğinden beri, yama aralığı yaklaşık 15 güne düşürüldü. Haftalık güncellemelere geçiş, güvenlik düzeltmelerini daha da hızlı göndermemize ve yama boşluğunu daha da azaltmamıza olanak tanıyor,” dedi Chrome Güvenlik Ekibi kıdemli teknik program yöneticisi Amy Ressler.
Bu şekilde, güvenlik düzeltmeleri 3,5 gün daha erken gönderilir ve n günlük saldırıların azaltılmasına yardımcı olur.
Kullanıcıların, erişilebilir bir Chrome güncellemesini duyuran bildirimleri masaüstlerinde veya mobil cihazlarında incelemeleri ve güncellemeyi hemen çalıştırmaları yeterlidir.