Google’ın mobil donanım, yazılım, web tarayıcıları ve açık kaynak kütüphanelerindeki güvenlik açıklarını keşfetmeye ve yamalamaya adanmış dahili ekibi Project Zero, çok çeşitli mobil cihazlarda bulunan Samsung’un Exynos yonga setlerindeki bir dizi güvenlik açığını ortaya çıkardı.
Bu kritik güvenlik açıklarından dördü internetten ana banda uzaktan kod yürütülmesine izin veriyor ve Project Zero tarafından yapılan testler, bir saldırganın yalnızca kurbanın telefon numarasıyla bir telefonu ana bant düzeyinde ele geçirebileceğini doğruladı. Yeterli beceriye sahip bir saldırganın bu açıklardan tamamen sessiz ve uzaktan faydalanabileceğine inanıyorlar. Diğer 14 güvenlik açığı birbiriyle ilişkili olmakla birlikte kötü niyetli bir mobil ağ operatörü veya hedeflenen cihaza yerel erişim de dahil olmak üzere daha kapsamlı bir kurulum gerektirdiğinden bu kadar kritik olmadıkları düşünülüyor.
Ana dört kritik güvenlik açığının ciddiyeti nedeniyle Project Zero, istismarın işleyişine dair tam açıklamayı geciktirdiğini belirtti:
“Bu güvenlik açıklarının sağladığı erişim seviyesinin çok nadir bir kombinasyonu ve güvenilir bir operasyonel istismarın hazırlanabileceğine inandığımız hız nedeniyle, internetten banda uzaktan kod yürütülmesine izin veren dört güvenlik açığının açıklanmasını geciktirmek için bir politika istisnası yapmaya karar verdik.”
Yama zaman çizelgeleri üreticiye göre değişmekle birlikte Google’ın Mart 2023 güvenlik güncellemeleri belirli Pixel 6 ve Pixel 7 cihazlarındaki en kritik CVE-2023-24033 güvenlik açığını yamaladı ancak birçok cihaz rapordaki açıkların bazılarına veya tümüne karşı savunmasız kalmaya devam ediyor. Güvenlik açığından etkilenen cihazlar:
- S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 ve A04 serisi dahil olmak üzere Samsung’un mobil cihazları
- S16, S15, S6, X70, X60 ve X30 serileri de dahil olmak üzere Vivo’nun mobil cihazları
- Google’ın Pixel 6 ve Pixel 7 serisi cihazları
- Exynos W920 yonga setini kullanan tüm giyilebilir cihazlar
- Exynos Auto T5123 yonga seti kullanan tüm araçlar
Project Zero, etkilenen cihazlara sahip olup güvenlik yamalarını bekleyen kullanıcıların, cihaz ayarlarından Wi-Fi aramayı ve Voice-over-LTE (VoLTE) özelliğini devre dışı bırakarak ana bant uzaktan kod çalıştırma güvenlik açıkları riskini azaltabileceklerini söylüyor. Bazı cihazlar için bu kolay bir işlem olsa da Google Pixel cihazları için VoLTE varsayılan olarak etkin ve kapatmanın bir yolu bulunmuyor. Bununla birlikte Ayarlar uygulamasında Ağ ve internet > SIM’ler > Wi-Fi araması altından Wi-Fi aramasını devre dışı bırakabilirsiniz.
Derleyen: Hatice Bulut
