Güvenlik açıkları kullanıcıların bilgilerini ve gizliliğini tehlikeye atabiliyor. Son olarak, güvenlik açığı haberlerine bir yenisi daha eklenmiş durumda. Tech Crunch'ın haberine göre, Google'ın güvenlik araştırma birimi Project Zero, düzinelerce Android modelinde, giyilebilir cihazlarda ve araçlarda yer alan belirli çiplerde bulduğu bir dizi güvenlik açığı konusunda alarma geçti.
Project Zero başkanı Tim Willis bir blog yazısında, kurum içi güvenlik araştırmacılarının son birkaç ay içinde Güney Koreli bir şirket tarafından üretilen modemlerde, 18 sıfır gün güvenlik açığı bulduklarını ve rapor ettiklerini söyledi. Bu açıklar arasında, etkilenen cihazları hücresel ağ üzerinden "sessizce ve uzaktan" tehlikeye atabilecek en yüksek şiddette dört açık da yer alıyor.
Willis, "Project Zero tarafından yapılan testler, bu dört güvenlik açığının bir saldırganın hiçbir kullanıcı etkileşimi olmadan ana bant düzeyinde bir telefonu uzaktan ele geçirmesine olanak tanıdığını ve saldırganın yalnızca kurbanın telefon numarasını bilmesini gerektirdiğini doğrulamaktadır" dedi.
Aktarılanlara göre, bir saldırgan, bir cihazın ana bant seviyesinde (esasen hücre sinyallerini dijital verilere dönüştüren modemler) uzaktan kod çalıştırma becerisi kazanarak, kurbanı uyarmadan hücresel aramalar, kısa mesajlar ve hücresel veriler de dahil olmak üzere etkilenen bir cihaza giren ve çıkan verilere neredeyse sınırsız erişim elde edebilir.
Google'ın yüksek önem arz eden güvenlik açıkları yamanmadan önce alarm verdiğini görmek nadiren rastlanan bir durum.
Project Zero araştırmacısı Maddie Stone, Twitter üzerinden şirketin hataları düzeltmek için 90 günü olduğunu ancak henüz düzeltmediğini paylaştı.
Güney Koreli şirket, Mart 2023 tarihli bir güvenlik listesinde, birkaç modemin savunmasız olduğunu ve birkaç Android cihaz üreticisini etkilediğini doğruladı.
Project Zero'ya göre, etkilenen cihazlar arasında yaklaşık bir düzine Samsung modeli, Vivo cihazları ve Google'ın kendi Pixel 6 ve Pixel 7 telefonları yer alıyor. Etkilenen cihazlar arasında giyilebilir cihazlar ve hücresel ağa bağlanmak için bu çipleri kullanan araçlar da yer alıyor.
Google, yamaların üreticiye bağlı olarak değişeceğini söylerken, Pixel cihazlarının Mart güvenlik güncellemeleriyle zaten yamalı olduğunu belirtti.
Google, etkilenen üreticiler müşterilerine yazılım güncellemelerini gönderene kadar, kendilerini korumak isteyen kullanıcıların cihaz ayarlarından Wi-Fi aramayı ve Voice-over-LTE'yi (VoLTE) kapatabileceklerini ve bunun "bu güvenlik açıklarının istismar riskini ortadan kaldıracağını" söyledi.
Google, geriye kalan 14 güvenlik açığının ise bir cihaza erişim ya da bir cep telefonu operatörünün sistemlerine içeriden veya ayrıcalıklı erişim gerektirdiği için daha az ciddi olduğunu kaydetti.