Android telefonlarda kullanılan yazılımlarda, bilgisayar korsanlarının telefonlardaki verilere tamamen erişebilmelerine imkan veren bir güvenlik açığı keşfedildi.
Checkpoint adlı güvenlik şirketinin uzmanları hatayı, ABD merkezli Qualcomm şirketi tarafından üretilen yonga setleriyle (bilgisayarın anakartı üzerindeki ara birimleri yöneten ve bunlar arasındaki veri akışını sağlayan işlemciler) kullanılan yazılımı incelerken bulduklarını belirtti. Qualcomm yonga setleri 900 milyon Android telefonda kullanıldığı, güvenlik açığının şu ana dek siber hırsızlar tarafından kullanıldığına dair bir belirtinin de olmadığı söylendi.
Checkpoint yetkililerinden Michael Shaulov, "Eminim önümüzdeki 3 ya da 4 ay içinde bu zaaflardan yararlananlar çıkacaktır" diyerek, "Bu yarış daima devam ediyor. Acaba zaafları önce iyiler mi yoksa kötüler mi keşfedecek?" ifadelerini kullandı.
Güvenlik açığından etkilendiği belirtilen cihazlar şöyle:
BlackBerry Priv ve Dtek50
Blackphone 1 ve Blackphone 2
Google Nexus 5X, Nexus 6 ve Nexus 6P
HTC Bir, HTC M9 ve HTC 10
LG G4, LG G5, ve LG V10
Motorola'nın Yeni Moto X 'i
OnePlus One, OnePlus 2 ve OnePlus 3
Samsung Galaxy S7 ve Samsung S7 Edge'in ABD versiyonları
Sony Xperia Z Ultra
"Siber hırsızlar aşamalı olarak cihaz kontrolünü ele geçirebilir"
Michael Shaulov, zaafları Qualcomm kodları üzerinde yapılan altı aylık bir tersine tasarım çalışmasıyla ortaya çıkardıklarını açıkladı. Sözü edilen güvenlik zaafı grafiklerle ilgili yazılım ve telefonlarda farklı süreçler arasındaki iletişimi kontrol eden yazılımda bulunduğunu belirtti. Bunu kullanan bir siber hırsızın aşamalı olarak cihaz üzerinde kontrolünü artırabileceği ve verileri ele geçirebileceği düşünülüyor.
Checkpoint'in bu yılın başlarında Qualcomm şirketine zaaflarla ilgili bilgiler ve kanıtları verdiği iddia ediliyor. Bu konudaki sorulara yanıt vermeyen Qualcomm'ın, bu bilgilere dayanarak güvenlik açıklarıyla ilgili yazılım 'yamaları' yaptığı ve yeni üretilen cihazlarda yazılımı düzelttiği düşünülüyor.
Yamaların ayrıca telefon cihazı üreticileri ve işletimcilerine de dağıtıldığı bilinse de, bu şirketlerden hangilerinin müşterilerine güncellemeleri bildirdiği hakkında kesin bir bilginin olmadığı belirtiliyor.
Checkpoint tarafından üretilen QuadRooter Scanner adlı bir ücretsiz uygulama ile telefon cihazlarında sözü edilen güvenlik zaafı bulunup bulunmadığı kontrol edilebiliyor. Uygulama bunu, telefona indirilen ve kurulan yazalım yamalarını kontrol ederek tespit ediyor. Kullanıcıların zararlı program tuzaklarından kaçınmak için bu uygulamaları sadece resmi Google Play sitesi üzerinden indirmesi tavsiye ediliyor.
