Geçtiğimiz ay, ABD hükümetinin Pixel cep telefonu kullanan tüm federal çalışanlara 4 Temmuz’dan önce en son güvenlik güncellemesini yüklemelerini veya cihazı kullanmayı bırakmalarını emrettiğini söylemiştik. Bu emir, CISA (Siber Güvenlik ve Altyapı Güvenlik Ajansı) tarafından yönetilen Bilinen İstismar Edilen Güvenlik Açıkları (KEV) listelerinden geldi. Görünüşe göre CVE-2024-32896 “sınırlı, hedefli istismar altında olabilir.”
CVE-2024-32896 güvenlik açığından yararlanmak, bir saldırganın ayrıcalık yükseltmesine izin verebilir. Ayrıcalık yükseltmesi, bir saldırganın kötü niyetli aktörün normalde erişemeyeceği verilere erişmek ve bunları yakalamak için bir uygulama kullanmasına izin verebilir. Ayrıca saldırganın genellikle daha yüksek ayrıcalıklara sahip kullanıcılar için ayrılmış yetkisiz eylemler gerçekleştirmesine de izin verebilir. Gördüğünüz gibi, bu ciddi bir sorundur ve sıfır günlük bir istismar olarak, sorun keşfedildiğinde herhangi bir yama veya düzeltme mevcut değildi.
Google, CVE-2024-32896’nın yalnızca Pixel cihazlarını etkilemediğini, aynı zamanda Samsung Galaxy cihazları ve diğer tüm Android telefonlarda bir güvenlik açığı olduğunu duyurdu. Samsung, Galaxy telefonları için Temmuz güvenlik güncellemesini yayınlamış olsa da, güncelleme güvenlik açığı için bir yama içermiyordu. Pixel cihazlarında bu güvenlik açığı düzeltildi ancak Galaxy ve diğer Android modelleri sorunu düzeltmedi.
Android’de istismar edilen bir güvenlik açığı Pixel cihazlarda düzeltildi ancak Galaxy cihazlarda düzeltilmedi | Resim kredisi-PhoneArena
Google, “bir cihazı tehlikeye atmak için ek istismarlara ihtiyaç duyulacağını” ekledi, bu da sizi rahatlatacak bir şey değil çünkü GrapheneOS, “İki güvenlik açığı ele alınıyor. Bu sorunların hiçbiri henüz Pixels dışında düzeltilmiyor.” diyor.
Google, bu kusurun henüz Pixel cihazlarının dışında düzeltilmediğini kabul etti ve şirket şunları söyledi:
Forbes“Android güvenliği bu sorunun farkındadır ve daha detaylı inceleme sonucunda bu sorunun Android platformunu etkilediği ortaya çıkmıştır… En son güvenlik güncellemesini yükleyen Pixel cihazları korunmaktadır… Diğer Android OEM ortakları için uygulanabilir düzeltmelere öncelik veriyoruz ve bunlar mümkün olur olmaz kullanıma sunacağız.”
Samsung’un Temmuz güvenlik güncellemesi, Haziran ayında Pixel telefonlar için düzeltilen üç kritik Qualcomm güvenlik açığını kapatarak Samsung’u bir kez daha geç bıraktı. Samsung, Qualcomm kusurları için olan bileşen yamalarının, yazılım ve donanım yazılımı düzeltmelerinden daha uzun sürede yayıldığını kamuoyuna bildirdi, ancak bir kez daha Pixel kullanıcıları telefonlarını önce güvenceye aldı.
Samsung’un Temmuz güvenlik güncellemesindeki güncellemelerden biri, Google’ın “ek yürütme ayrıcalıklarına gerek kalmadan yerel ayrıcalık artışına yol açabileceği” konusunda uyardığı CVE-2024-31320 adlı mevcut bir güvenlik açığını düzeltti. Umuyoruz ki, gelecek ayki Ağustos ayı Samsung güvenlik güncellemesi sonunda CVE-2024-32896 açığını kapatır.
