Qualcomm destekli Android cihazlar dört köklenme hatasıyla boğuşuyor

Qualcomm yonga setlerine dayanan yüz milyonlarca Android cihaz, ayrıcalıklı olmayan uygulamaların onları ele geçirmesine izin veren dört önemli güvenlik açığından en az birine maruz kalabilir.

Dört kusur Pazar günü Check Point Yazılım Teknolojileri'nden güvenlik araştırmacısı Adam Donenfeld tarafından Las Vegas'ta DEF CON güvenlik konferansında sunuldu. Şubat ve Nisan ayları arasında Qualcomm'a bildirildiler ve yonga seti üreticisi bu yana, güvenlik açıklarını yüksek önem derecesi olarak sınıflandırdıktan sonra düzeltmeler yayınladı.

Ne yazık ki, bu, tüm cihazların henüz korunmadığı anlamına gelmiyor. Android ekosisteminin parçalanması nedeniyle, birçok cihaz eski Android sürümlerini çalıştırıyor ve artık ürün yazılımı güncellemelerini almıyor ya da aylar süren gecikmelerle düzeltmeleri alıyorlar.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Nexus serisi Android telefonları ve tabletleri için aylık olarak güvenlik düzeltme ekleri yayınlayan Google bile, tüm kusurları düzeltti.

Güvenlik açıkları, QuadRooter olarak adlandırıldı, çünkü eğer istismar edildiyse, saldırganlara root ayrıcalıkları sağlıyorlar - Android gibi Linux tabanlı bir sistemde en yüksek ayrıcalıklar. Bireysel olarak CVE-2016-2059, CVE-2016-2503 ve CVE-2016-2504 ve CVE-2016-5340 olarak takip edilirler ve Qualcomm tarafından cihaz üreticilerine sağlanan çeşitli sürücülerde bulunurlar.

Qualcomm, Qualcomm Ürün Güvenliği Girişimi için mühendislik başkan yardımcısı Alex Gantman'ın Nisan ve Temmuz ayları arasında bu güvenlik açıkları için yamalar yayınladığını söyledi.

Bu arada, Google şu anda bu yamaların yalnızca üçünü dağıttı Nexus cihazlar için aylık Android güvenlik bültenleri aracılığıyla. Google tarafından yayınlanan güvenlik güncellemeleri önceden telefon üreticileriyle paylaşılıyor ve Android Açık Kaynak Projesi (AOSP) için de yayınlanıyor.

Android 6.0 (Marshmallow) kullanan ve 5 Ağustos tarihinde bir yama düzeyine sahip cihazlar, CVE-2016-2059, CVE-2016-2503 ve CVE-2016-2504 kusurları. 5 Ağustos yamalarını içeren 4.4.4 (KitKat), 5.0.2 ve 5.1.1 (Lollipop) sürümlerini çalıştıran Android cihazların da CVE-2016-2503 ve CVE-2016-2504 yamalarına sahip olması gerekir. CVE-2016-2059 sürümü, mevcut hafifletmeler nedeniyle Google'ın düşük önem derecesiyle işaretlediği bir sürüm.

Dördüncü güvenlik açığı, CVE-2016-5340, Google tarafından alınmaya devam ediyor, ancak cihaz üreticileri bu düzeltmeyi doğrudan Qualcomm'un Code Aurora açık kaynak kodlu projesi.

"Bu kusur, Android ortakları Qualcomm'un sağladığı genel yamayı referans göstererek daha çabuk harekete geçmesine rağmen, yaklaşan bir Android güvenlik bülteninde ele alınacak." Bu dört güvenlik açığından herhangi birinin istismar edilmesi, kullanıcıların kötü amaçlı uygulamalar indirmesini gerektireceğini belirtti.

"Doğrulama Uygulamalarımız ve Güvenlik Ağı korumaları, bu tür güvenlik açıklarından yararlanan uygulamaları belirlemeye, engellemeye ve kaldırmaya yardımcı oluyor," diye ekledi.

Doğru. kusurları istismar sadece dolandırıcılık uygulamaları aracılığıyla değil, doğrudan tarama, e-posta veya SMS gibi uzak saldırı vektörleri ile yapılabilir, ancak Check Point'e göre bu zararlı uygulamaların herhangi bir ayrıcalık gerektirmeyeceği belirtiliyor.

Check Point'in araştırmacıları ve Google, aynı fikirde değil CVE-2016-2059 ciddiyeti hakkında. Qualcomm, kusuru yüksek önem derecesiyle derecelendirirken, Google, bunu, SELinux aracılığıyla hafifletilebileceğini söyleyerek düşük bir önem olarak değerlendirdi.

SELinux, erişim denetimlerini zorlayarak belirli güvenlik açıklarının kullanımını zorlaştıran bir çekirdek uzantısıdır. Mekanizma, Android 4.3 (Jelly Bean) ile başlayan uygulama sanal alan sınırlarını zorlamak için kullanıldı.

Check Point, Google’ın değerlendirmesinde SELinux’un bu kusuru azalttığı konusunda hemfikir değildir. Donenfeld'in DEF CON'deki konuşması sırasında, CVE-2016-2059 istismarının SELinux'u zorlama modundan geçirme moduna geçirmesini ve etkinliğini devre dışı bırakmasını nasıl sağladığını gösterdi.

Bazı üreticilerin Google’ı bekleyebilmeleri nedeniyle hangi cihazların savunmasız olduğunu belirlemek zor. Kendi donanım yazılımı güncellemelerini vermeden önce eksik yamayu serbest bırakın, diğerleri ise doğrudan Qualcomm'dan alabilir. Savunmasız cihazların belirlenmesine yardımcı olmak için Check Point, kullanıcıların cihazlarının dört kusurdan herhangi biri tarafından etkilenip etkilenmediğini kontrol etmelerini sağlayan Google Play'den QuadRooter Tarayıcı adlı ücretsiz bir uygulama yayınladı.