CERT-In – veya Hindistan Bilgisayar Acil Durum Müdahale Ekibi – Android’in birden fazla sürümünü etkileyen çeşitli güvenlik açıkları konusunda uyardı. Bu güvenlik kusurları, kötü niyetli bir kullanıcı tarafından istismar edilirse tehlikeli kod yürütmek, hassas verileri toplamak ve kurbana hizmet reddi (DoS) saldırısı başlatmak için kullanılabilir. Siber güvenlik kurumuna göre güvenlik açıkları, çerçeveden Arm, MediaTek, Qualcomm, Unisoc ve diğer bileşenlere kadar Google işletim sisteminin (OS) çeşitli bölümlerinde Android’in üç ana sürümünü etkiliyor.
Bu hafta başında yayınlanan bir güvenlik açığı notunda CERT-In, Android işletim sistemini etkileyen 51 güvenlik açığını listeliyor. Siber güvenlik sorunları ve tehditleriyle ilgilenmekten sorumlu düğüm kurumu, güvenlik açığı notu için kritik bir önem derecesi yayınladı. CERT-In tarafından listelenen tüm girişlere bir Ortak Güvenlik Açıkları ve Etkilenme (CVE) numarası atanmıştır.
CERT-In’e göre bu güvenlik açıkları Android 13, Android 12, Android 12L ve Android 11’i etkiliyor. Android 14’ün kaynak kodu, önerinin yayınlanmasından birkaç gün önce yayınlandığı için Android 14’ün de etkilenip etkilenmediği şu anda belirsiz.
CERT-In tarafından listelenen 51 güvenlik açığı, Android çerçevesinden, Android sisteminden ve Google Play sistem güncellemelerinden Android işletim sisteminin çeşitli bölümlerini etkiliyor. Bu arada Arm, MediaTek, Unisoc ve Qualcomm’un yazılımları da dahil olmak üzere doğrudan Google tarafından kontrol edilmeyen bileşenlere yönelik yazılımlar da bu güvenlik açıklarından etkileniyor.
CERT-In’e göre, bu kusurlardan yararlanan saldırganlar potansiyel olarak hedefin akıllı telefonundaki ayrıcalıklarını yükseltebilir, rastgele (ve kötü amaçlı) kod çalıştırabilir, hassas bilgileri çıkarabilir ve hatta hizmet reddi (DoS) saldırısı gerçekleştirebilir.
Bu kusurlardan ikisi — CVE-2023-4863 Ve CVE-2023-4211 – Ajansa göre, saldırganlar tarafından aktif olarak istismar edilebilir ve kullanıcıların güvenlik yamalarını “acilen” uygulaması gerekir. Bu kusurlar sırasıyla Google’ın tarayıcısına güç veren Chromium motoruyla ve Android’deki GPU bellek işleme işlemleriyle ilgilidir.
Pixel akıllı telefonlarda çalışan kullanıcılar aşağıdakileri içeren en son güncellemeyi yükleyebilir: Ekim ayı güvenlik yamaları. Ne yazık ki, diğer üreticilerin akıllı telefonlarına sahip olan kullanıcılar, bu güvenlik kusurlarına yönelik düzeltmelerle birlikte bir güvenlik güncellemesinin yayınlanmasını beklemek zorunda kalacak.