Samsung yonga setlerinde yeni açıklanan bir dizi güvenlik açığı, milyonlarca Android cep telefonu kullanıcısını, bireysel cihaz satıcıları kusurlar için yamalar hazırlayana kadar potansiyel uzaktan kod yürütme (RCE) saldırılarına maruz bıraktı.
Google’ın Project Zero’daki kusurları keşfeden araştırmacılarına göre, o zamana kadar tehdide karşı korunmak isteyen kullanıcılar için en iyi seçenek, cihazlarında Wi-Fi arama ve Voice-over-LTE ayarlarını kapatmak.
Geçen hafta bir blog gönderisinde araştırmacılar, Samsung, Vivo ve Google’ın birden fazla cep telefonu modelinde kullanılan şirketin Exynos yonga setlerinde Samsung’a 18 kadar güvenlik açığı bildirdiklerini söylediler. Etkilenen cihazlar arasında Samsung Galaxy S22, M33, M13, M12, A71 ve A53, Vivo S16, S15, S6, X70, X60 ve X30 ile Google’ın Pixel 6 ve Pixel 7 serisi cihazlar yer alır.
Android Kullanıcıları Tam Bir Uzlaşmayla Karşı Karşıya
Project Zero tehdit araştırmacısı Tim Willis, Samsung Exynos yonga setlerindeki güvenlik açıklarından dördünün, saldırganlara, kullanıcı etkileşimi gerektirmeden ve saldırganın yalnızca kurbanın telefon numarasını bilmesini gerektirerek, etkilenen bir cihazı tamamen ele geçirme yolu verdiğini yazdı.
“Project Zero tarafından gerçekleştirilen testler, bu dört güvenlik açığının [CVE-2023-24033, CVE-2023-26496, CVE-2023-26497, and CVE-2023-26498] Willis, “Sınırlı ek araştırma ve geliştirme ile, yetenekli saldırganların, etkilenen cihazları sessizce ve uzaktan ele geçirmek için hızlı bir şekilde operasyonel bir istismar oluşturabileceğine inanıyoruz” dedi.
Güvenlik araştırmacısı, Samsung Exynos yonga setlerinde kalan 14 güvenlik açığının biraz daha az ciddi olduğunu belirledi.
E-postayla gönderilen bir bildiride Samsung, altı güvenlik açığının bazı Galaxy cihazlarını potansiyel olarak etkilediğini tespit ettiğini söyledi. Şirket, altı kusuru “ciddi” olarak nitelendirmedi ve Mart güvenlik güncellemesinde beş tanesi için yamalar yayınladığını söyledi. Samsung, Nisan ayında altıncı kusur için bir yama yayınlayacak. Şirket, Google’ın ifşa ettiği 18 güvenlik açığının tümü için yama yayınlayıp yayınlamayacağına dair bilgi isteyen bir Dark Reading talebine yanıt vermedi. Etkilenen tüm Samsung Galaxy cihazlarının güncellemeleri alıp almayacağı veya ne zaman alacağı da belli değil.
Willis, etkilenen Google Pixel cihazlarının, açıklanan kusurlardan biri (CVE-2023-24033) için şirketin Mart 2023 güvenlik güncellemesiyle zaten bir düzeltme aldığını söyledi. Google, kalan güvenlik açıkları için yamaların ne zaman kullanıma sunulacağına ilişkin bilgi için bir Karanlık Okuma talebine hemen yanıt vermedi. Vivo, bir Karanlık Okuma talebine de hemen yanıt vermedi, bu nedenle şirketin güvenlik açıklarını ele alma planları da belirsizliğini koruyor.
Android Yama Boşluğu Sorunu
Geçmişte, cihaz satıcıları Android ekosistemindeki güvenlik açıklarını ele almak için zaman harcadılar. Dolayısıyla, bu bir göstergeyse, Samsung yonga setindeki güvenlik açıklarından etkilenen kullanıcılar uzun süre bekleyebilir.
Kasım ayında, Project Zero araştırmacıları, bir Android cihaz için bir ürün yazılımı yamasının kullanıma sunulması ile bir cihaz satıcısının kullanıcıları için gerçekten kullanılabilir hale getirmesi arasındaki gecikmeden kaynaklanan önemli bir yama boşluğu tanımladıklarını bildirdiler. Örnek olarak, Project Zero araştırmacıları, ARM Mali GPU sürücüsünde keşfettikleri birkaç güvenlik açığına işaret etti. Google, güvenlik açıklarını geçen Haziran ve Temmuz aylarında ARM’ye bildirdi ve ardından ARM, Temmuz ve Ağustos aylarında kusurlar için yamalar yayınladı. Yine de üç aydan uzun bir süre sonra, Kasım ayında, Google etkilenen cihazları güvenlik açığı açısından test ettiğinde, araştırmacılar her bir cihazın sorunlara karşı hâlâ savunmasız olduğunu gördü.
Approov CEO’su Ted Miracco, “Kolay olan kısım, donanım kusurlarını yeni yazılımlarla düzeltmektir” diyor. “Daha zor olan kısım, üreticilerin güncellemeleri son kullanıcılara iletmesini ve son kullanıcıların da cihazlarını güncellemelerini sağlamaktır” diyor. Ne yazık ki, yonga setlerinin birçok kullanıcısı cihazlara yama uygulamakta hızlı olmayabilir ve kullanıcılar muhtemelen güvenlik açıklarından büyük ölçüde habersizdir, diyor.
Project Zero’nun Samsung yonga setlerinde keşfettiği güvenlik açıkları yalnızca Android ekosisteminde değil, aynı zamanda iOS ekosisteminde ve gelişmiş donanım ve yazılım içeren herhangi bir karmaşık tedarik zincirinde de var, diye devam ediyor Miracco. Zorluk, kusurları tespit etmekten tüm cihazlara çözüm dağıtmaya kadar geçen süreyi azaltmaktır.
“Bu, Android ekosisteminin çok dikkat etmesi gereken bir alandır, çünkü güncellemeler pek çok mobil cihaz üreticisinde çok az olabilir,” diyor. Miracco, işletmelerin kendi cihazlarını (BYOD) işe getiren kullanıcıların, güncellemeleri hızlı bir şekilde dağıtma geçmişine sahip onaylı tedarikçilerin cihazlarını kullanmalarını zorunlu kılabileceğini ekliyor.
Zimperium’da ürün stratejisi başkan yardımcısı Krishna Vishnubhotla, bunun gibi güvenlik açıklarının işletmelerin mobil güvenlik stratejilerini değerlendirme ihtiyacını vurguladığını söylüyor. “Kuruluşların, çalışanlarına nasıl güvende kalacakları ve kurumsal erişim için yeni gereksinimler olup olmadığı konusunda rehberlik etmeleri mantıklıdır” diye belirtiyor.
o kadar çok şeyleorijinal ekipman üreticisi (Android alanında OEM) parçalanması, yamalar keşfedilen tüm güvenlik açıkları için yalnızca birkaç ay sonra kullanılabilir. Vishnubhotta, “İşte bu nedenle, kuruluşların sıfır gün tehditlerini kaldırabilen ve kablosuz olarak güncellenebilen güvenliğe yatırım yapmaları önemlidir.”