Samsung cihazlarında bulunan bir dizi güvenlik açığı, siber suçluların bir akıllı telefonun kontrolünü ele geçirmesine ve sahibini gözetlemesine olanak tanıyor.
Siber güvenlik, son aylarda önemli bir konu oldu ve tam olarak iyi nedenlerle değil. Birçok ülkede en çok kullanılan akıllı telefonlar içinde yer alan Samsung ve Galaxy cihazlarına yönelik önemli bir açıktan söz ediyoruz.
Mobil uygulama güvenliğine odaklanan referans şirketlerden biri olan Oversecured’in kurucusu Sergey Toshin, şirketin önceden yüklenmiş uygulamaları aracılığıyla Galaxy telefonlarında bir dizi güvenlik açığının keşfedildiğini açıkladı. Bu açık, saldırganların cihazların kontrolünü tamamen ele geçirmelerini sağlıyor.
Toshin, özellikle Samsung Galaxy’nin önceden yüklenmiş uygulamaları aracılığıyla bunu keşfettiğini ve toplamda, şu anda Koreli firmanın henüz tam olarak çözmediği 17 güvenlik açığını ortaya çıkardığını açıkladı.
Android güvenlik açıklarını tespit etme konusunda uzman olan Toshin, bu yılın başından beri Samsung telefonlarındaki güvenlik sorunları hakkında bilgi topluyor. Büyük sorunlardan kaçınmak için bu güvenlik açıklarından bazılarının siber güvenlik etkileri hakkında çok fazla ayrıntı vermek istemedi, ancak en azından saldırganların kurbanın SMS mesajlarını çalabileceğini veya cep telefonunun kontrolünü ele geçirebileceğini belirtti.
Bu kusurların ciddiyeti o kadar önemli ki, bazı durumlarda telefonun sahibi, herhangi bir aldatma veya işlem gerektirmeyen bir siber saldırıya maruz kalabilir. Saldırgan bu sorunları kullanarak cihazda yönetici izinleri elde edebilir ve Galaxy telefonlarda Android sistemine tam erişim elde edebilir.
Toshin, Android uygulamalarını analiz edebilen yazılımını kullanarak bu sorunları derinlemesine incelemek için Samsung telefonlarına önceden yüklenmiş uygulamaları analiz etti. Bu kusurlardan yararlanarak, basit bir üçüncül uygulama aracılığıyla sistem genelindeki yönetici izinlerine erişebildiğini keşfetti. Bu yeterli değilse, bu istismarlar beklenmedik bir yan etkiye neden oldu, telefondaki diğer tüm uygulamalar silindi.
Ayarlar uygulaması bile bir güvenlik açığından muzdaripti; güvenlik açığından yararlanarak, sistem dosyalarının tekrar yönetici ayrıcalıklarıyla okunmasına ve diğer dosyalara yazılmasına izin verdi. Bir bilgisayar korsanının iletişim bilgilerine, SD karta nasıl erişebileceği ve telefon numarası veya e-posta adresi gibi özel bilgilerin sızmasına neden olabileceği ile ilgili diğer sorunlar bulundu.
Toshin, yılın başından bu yana yalnızca Samsung’dan yaklaşık 30 bin dolar aldı. Diğer güvenlik açıkları şu anda onarılmayı bekliyor, Samsung’un yeni bir ürün yazılımı güncellemesinin Samsung Galaxy’nin Android sisteminde yeni güvenlik açıklarına veya ciddi kusurlara neden olmadığını doğrulaması gerektiğinden bir işlem aylar alabilir.
Samsung’dan kullanıcılara, olası güvenlik risklerinden kaçınmak için her zaman üreticinin en son ürün yazılımı güncellemelerini uygulamaları tavsiye ediliyor. Toshin’in de vurguladığı gibi, kapsamı bilinmeyen ve henüz çözülmemiş üç hata olmasına rağmen durum kontrol altına alınacak.
Moskovalı Toshin, mobil güvenlik açıklarını tespit etme konusunda önde gelen isimlerden biridir. Kariyeri boyunca, büyük şirketlere, kendisine 1 milyon dolardan fazla ödül kazandıran 550’den fazla güvenlik açığı bildirdi.
