Google’ın güvenlik araştırma birimi, onlarca Android telefon modelinin, giyilebilir cihazın ve diğer teknolojik araç türlerinin içerisinde bulunan bazı Samsung çiplerinde bir dizi güvenlik açığı buldu. Şirket, güvenlik açıkları keşfedildiği takdirde sorunlu çiplere sahip cihazların istismar edilmesi riski yüzünden bu cihaz modellerine sahip kullanıcıları uyarıyor.
Google’ın güvenlik araştırma birimi Project Zero Başkanı Tim Willis, Samsung tarafından üretilen Exynos model çiplerden bazılarında 18 adet güvenlik açığı bulduklarını ve Samsung’a rapor ettiklerini söyledi.
Willis açıklamasında araştırma biriminin yaptığı testler sonucu bazı Samsung çiplerinde güvenlik açığı bulduğunu ve bu açığın telefonların uzaktan ele geçirilmesine sebep olabileceğini söyledi. Willis ayrıca bu ele geçirme için saldırganın sadece saldırdığı kişinin telefon numarasını bilmesinin yeterli olduğunu belirtti.
Açıklamalar devam ederken Google, yetenekli saldırganların araştırma ve çabayla “hızlı bir şekilde operasyonel bir istismar oluşturabileceklerini” belirterek, güvenlik açıklarının halka yönelik risk oluşturduğuna dikkat çekti.
Ayrıca Project Zero araştırmacısı Maddie Stone Twitter hesabından, Samsung’un hataları düzeltmek için 90 günü olduğunu ancak henüz yapmadığını duyurdu.
Yaşananlar üzerine Samsung, Mart 2023 güvenlik listesinde birkaç Exynos model çipin savunmasız olduğunu ve bu problemin birkaç Android cihaz üreticisini etkilediğini doğruladı ancak çok az ayrıntı verdi.
Google güvenlik birimi Project Zero’ya göre etkilenen cihazlar arasında yaklaşık bir düzine Samsung modeli, Vivo modeli ve Google’ın kendi Pixel 6 ve Pixel 7 telefonları yer alıyor. Etkilenen cihazlar, hücresel ağa bağlanmak için Exynos çiplerini kullanan giyilebilir cihazları ve araçları da içeriyor.
Bu güvenlik açığından etkilenen bazı cihazlar şu şekilde:
- S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ve A04 serisi dahil olmak üzere Samsung mobil cihazları
- S16, S15, S6, X70, X60 ve X30 serisindekiler dahil olmak üzere Vivo mobil cihazlar
- Google Pixel 6 ve Pixel 7 serisi
- Exynos Auto T5123 çip setini kullanan hücresel veri bağlantılı araçlar
Google, güvenlik açığının önlenmesi için yapılacak güncellemelerin üreticiye bağlı olarak değişeceğini söyledi ancak kendi Pixel cihazlarına mart ayı güvenlik güncellemeleriyle yama yaptığını söyledi.
Google, güvenlik açığından etkilenen cihaz üreticilerinin müşterilerine yazılım güncellemelerini gönderene kadar, kendilerini korumak isteyen kullanıcıların cihaz ayarlarından Wi-Fi aramasını ve Voice-over-LTE’yi (VoLTE) kapatabileceklerini böylece “bu güvenlik açıklarının istismar riskini ortadan kaldıracağını” söyledi.
Şirket bu önlemle 18 açıktan 4’ünün önüne geçilebileceğini ve kalan 14 açığın “daha az ciddi” olduğunu söyledi. Kalan güvenlik açıklarının daha az ciddi olmasının sebebi olarak ise bu 14 güvenlik açığının bir sorun oluşturması için cihaza veya hücre taşıyıcı sistemlerine içeriden veya ayrıcalıklı erişim olması gerekliliği gösterildi.
Derleyen: Ömer Kağan Selen
