Google‘ın Android İş Ortağı Güvenlik Açığı Girişimi, önemli bir güvenlik sızıntısı itirafında bulunarak, Samsung ve LG gibi büyük markaların Android akıllı telefonlarını etkileyen yeni bir anahtar güvenlik açığını ifşa etti. Android OEM’leri tarafından kullanılan imzalama anahtarlarının sızdırılması nedeniyle, sahte uygulamalar veya kötü amaçlı yazılımlar kendilerini “güvenilir” uygulamalar olarak gizleyebilir. Bu sorun daha önce bu yılın Mayıs ayında rapor edilmiş ve ardından Samsung da dahil olmak üzere birçok şirket güvenlik açığını kontrol altına almak için harekete geçmişti.
Güvenlik açığı Google çalışanı Łukasz Siewierski tarafından gün ışığına çıkarıldı. Sirwierski, attığı tweetlerle platform sertifikalarının Android’de kötü amaçlı yazılım uygulamalarını imzalamak için nasıl kullanıldığını ortaya çıkardı.
Sorunun temelinde, kötü niyetli saldırganlar tarafından istismar edilebilecek bir Android platform anahtarı güven mekanizması açığı yatmaktadır. Tasarım gereği Android, Android’in paylaşılan kullanıcı kimliği sistemi aracılığıyla çekirdek sistem uygulamalarını imzalamak için kullanılan meşru bir platform imzalama anahtarı kullanan tüm uygulamalara güvenir.
Ancak, Android orijinal ekipman üreticilerinin (OEM) platform imzalama anahtarları sızdırılmış ve kötü amaçlı yazılım oluşturucularının hedef cihazda sistem düzeyinde izinler almasına olanak sağlamıştır. Bu durum, söz konusu cihazdaki tüm kullanıcı verilerini, tıpkı üreticinin aynı sertifika ile imzaladığı başka bir sistem uygulaması gibi saldırganın kullanımına açacaktır.
Güvenlik açığının bir diğer endişe verici yanı ise, kullanıcının mutlaka yeni ya da “bilinmeyen” bir uygulama yüklemesini gerektirmemesi. Sızdırılan platform anahtarları, bir Samsung cihazındaki Bixby uygulaması gibi yaygın olarak güvenilen uygulamaları imzalamak için de kullanılabilir. Böyle bir uygulamayı üçüncü taraf bir web sitesinden indiren bir kullanıcı, sertifika kendi sistemindekiyle eşleşeceği için akıllı telefonuna yüklerken bir uyarı görmeyecektir.
Ancak Google, kamuoyuna yaptığı açıklamada şu ana kadar kritik güvenlik açığından etkilenen cihazların veya OEM’lerin listesini açıkça belirtmedi. Bununla birlikte, açıklama örnek kötü amaçlı yazılım dosyalarının bir listesini içermektedir. Platformun o zamandan beri Samsung, LG, Mediatek, Xiaomi ve Revoview cihazlarını içeren veya etkilenen akıllı telefonların listesini doğruladığı bildirildi.
Arama devi ayrıca etkilenen şirketlerin söz konusu sorunu hafifletmeleri için yollar önerdi. İlk adım, sızdırıldığı tespit edilen Android platformu imzalama anahtarlarının çıkarılması ve yeni imzalama anahtarlarıyla değiştirilmesini içeriyor. Şirket ayrıca tüm Android üreticilerini, bir uygulamanın diğer uygulamaları imzalamak için platform anahtarının sık kullanımını büyük ölçüde en aza indirmeye çağırdı.
Google‘a göre sorun ilk olarak Mayıs ayında rapor edildi. O zamandan bu yana, Samsung ve etkilenen diğer tüm şirketler, eldeki güvenlik açıklarını azaltmak ve en aza indirmek için düzeltici önlemler aldılar. Bununla birlikte, Android Police‘e göre, açıklamada listelenen savunmasız anahtarlardan bazıları yakın zamanda APK Mirror’a yüklenen Samsung ve LG telefon uygulamaları için kullanıldı.
“OEM ortakları, anahtarların ele geçirildiğini bildirir bildirmez derhal hafifletme önlemlerini uygulamaya koydu. Son kullanıcılar, OEM ortakları tarafından uygulanan kullanıcı hafifletmeleri ile korunacaktır.” ifadelerini kullandı arama devi Google, BleepingComputer‘a yaptığı açıklamada.
Android kullanıcılarının, Google tarafından ifşa edilen gibi potansiyel güvenlik açıklarından korunmak için ürün yazılımı sürümlerini mevcut en son güncellemelere güncellemeleri ve üçüncü taraf kaynaklardan uygulama indirirken dikkatli olmaları tavsiye ediliyor.