Son günlerdeki Android Güvenlik Bültenlerinde (ASB) dikkat çeken bir durum farkettiniz mi? Temmuz ayı güncellemesi Pixel telefonlar için hiçbir güvenlik açığı listelenmezken, Eylül güncellemesi tam 119 güvenlik açığı barındırıyordu. Bu durum tesadüf değildi; Google, aylık ASB’lerde belirgin bir değişiklik yapmıştı. Aslında her ay iki bülten yayımlanıyor; tanıdığınız bülten, ayın her yeni ayının ilk pazartesi günü kamuoyuna açıklananıdır. Diğer bülten ise, üreticilere ve onlara yonga tedarik eden şirketlere gönderilen özel bir ASB’dir. Bu bülten, kamu bülteni gönderilmeden 30 gün önce dağıtılıyor ki üreticiler ve yonga tedarikçileri, açıklanmadan önce yamanın testlerini yapabilsin.
Google’ın Aylık Android Güvenlik Bülteni Yayınlama Biçimi
Tüm Android telefonlar her ay güvenlik yamalarını almamakta. Bu duruma genellikle bütçe dostu ve orta seviye Android telefonlar dahildir. Bu tür modeller, güvenlik yamalarını her üç ayda bir, yılda iki kez veya hiç almayabilir. Sonuç olarak, bu modeller, kötü amaçlı yazılımlar tarafından istismar edilebilir ve kişisel veriler, kullanıcıların uygulamalarını açmak için kullandıkları kimlik bilgileri dahil olmak üzere çalınabilir. Bu tür durumları önlemek amacıyla, Google, Android Güvenlik Bülteni’nde yeni bir yayın stratejisi olan “Risk Tabanlı Güncelleme Sistemi”ni (RBUS) devreye almıştır.
Artık Google, her ay sadece “yüksek risk” taşıyan güvenlik açıkları hakkında bilgi yayımlıyor. Bu nedenle, çoğu yazılım düzeltmesi çeyrek dönemlerde alınacak. Peki, Google “yüksek risk” güvenlik açığını nasıl tanımlıyor? Şirket, bunları acil bir şekilde ele alınması gereken kritik sorunlar olarak tanımlıyor; bu sorunlar aktif olarak istismar edilen veya bir istismar zincirinin parçası olanlardır. İkincisi, bir saldırganın daha büyük bir hedefe ulaşabilmesi için bir araya getirdiği bir dizi güvenlik açığıdır; örneğin, bir telefonun tam kontrolünü ele geçirmek.
Üreticilerin Google’ın Yeni Güvenlik Bülteni Yayın Planından Elde Edeceği Faydalar
Yeni ASB yayın planıyla birlikte, telefon üreticileri her ay güncelleme yayımlarken daha az zorlukla karşılaşacaktır. Aynı zamanda, bu durum belirli modeller için daha sık güvenlik yamaları yayımlamalarına olanak tanıyabilir. Üreticiler, büyük çeyrek güncellemelerine odaklanabilirken, aylık yayınlarını yalnızca “yüksek risk” güvenlik açıklarıyla sınırlayabilecekler.
Yeni plan sayesinde, Temmuz ayında Pixel için yayımlanan bültende, güvenlik açığı bulgusu olmadan bazı işlevsel yamalarla karşılaşmamız bekleniyor. İşlevsel yamalar, bir özelliğin düzgün çalışmasını engelleyen hataları ortadan kaldırır. Güvenlik yaması ise, istismar edildiğinde bir güvenlik tehlikesi yaratan bir açığı gidermektedir. Temmuz bültenine göre Pixel kullanıcıları için güvenlik yaması yoktu, ancak Samsung’un Temmuz ayı raporunda 17 Samsung Güvenlik Açığı ve Samsung Yonga Grubu tarafından düzeltilen birkaç sorun bildirilmiştir.
Bilmeyi Gerektirenler
Aslında, çoğu telefon kullanıcısı muhtemelen aylık güvenlik yayınlarına dikkat etmiyor. Pixel tutkunu olanlar genellikle aylık güvenlik yayınlarından ziyade çeyrek dönemlerdeki Pixel Özellik Güncellemelerine daha fazla ilgi gösteriyor. İşlevsel yamalar da güvenlik yamalarından daha fazla bekleniyor, çünkü bir telefonda bir şey yapmanıza engel olan hataları ortadan kaldırmaktadır. Güvenlik yamaları elbette çok önemli olmasına rağmen, bunları yüklemek yazılımda fark edilebilir bir değişiklik yaratmaz.
Yine de, ne zaman bir aylık, üç aylık veya yarı yıllık güvenlik güncellemesi alırsanız, bunu derhal yüklemelisiniz. Bu güncellemeleri daha hızlı yüklediğinizde, Android telefonunuzun siber saldırganlardan koruması daha hızlı sağlanmış olur.
