Dünyanın en yaygın mobil işletim sistemlerinden Android'i tehdit eden yeni bir güvenlik açığı ortaya çıktı. Microsoft'un güvenlik araştırma ekibi tarafından tespit edilen zafiyet, tam 50 milyon cihazı doğrudan ilgilendiriyor. Sorunun kaynağında ise binlerce uygulamada kullanılan EngageLab SDK adlı yazılım geliştirme kiti yer alıyor.
50 milyon cihaz tehlikede
Microsoft araştırmacılarının yaptığı incelemelere göre, EngageLab SDK'de bulunan güvenlik açığı, kötü niyetli bir uygulamanın aynı cihazdaki başka bir uygulamanın yetkilerini kullanarak sistem güvenlik sınırlarını aşmasına imkân tanıyor. Bu durum, kullanıcı verilerine izinsiz erişim riskini beraberinde getiriyor.
Açığın özellikle kripto para cüzdanı uygulamalarını doğrudan etkilediği belirtiliyor. Araştırmalara göre bu uygulamaların toplam kurulum sayısı 30 milyonu aşarken, diğer uygulamalarla birlikte risk altındaki toplam cihaz sayısının 50 milyonu geçtiği ifade ediliyor.
Saldırganlar neler yapabilir?
Araştırmacılara göre saldırganlar, cihazda yüklü kötü amaçlı bir uygulama üzerinden bu açığı istismar ederek hedef uygulamaların iç dizinlerine erişim sağlayabiliyor. Bu durum şu riskleri beraberinde getiriyor:
-
Kişisel verilerin ele geçirilmesi
-
Kullanıcı kimlik bilgilerinin çalınması
-
Finansal bilgilere izinsiz erişim
-
Kripto para cüzdanlarının boşaltılması
Açığın kaynağı: Güvenilen ama güvenli olmayan komutlar
Sorunun temelinde, EngageLab SDK'nın uygulama içi güvenli ortamda çalışmasına rağmen dışarıdan gelen bazı komutları yeterince doğrulamadan "güvenilir" olarak kabul etmesi yer alıyor. Bu durum, normalde faydalı bir geliştirme aracı olan SDK'yı potansiyel bir saldırı vektörüne dönüştürüyor.
Özellikle 30 milyondan fazla indirmeye sahip kripto para uygulamalarında bu açığın tespit edilmesi, güvenlik riskinin boyutunu daha da kritik hale getiriyor.
Ne yapmalısınız?
Uzmanlar, kullanıcıları şu konularda uyarıyor:
-
Güvenilmeyen kaynaklardan uygulama indirmekten kaçının
-
Cihazınızdaki uygulamaları düzenli olarak güncelleyin
-
Özellikle kripto para ve finans uygulamalarında ek güvenlik önlemleri (iki faktörlü kimlik doğrulama gibi) kullanın
-
EngageLab SDK kullanan uygulamaların güncellemelerini takip edin
Microsoft'un, ilgili SDK geliştiricisine açığı bildirdiği ve bir yamanın hazırlandığı öğrenildi. Ancak güncelleme yapılmayan cihazların risk altında olmaya devam ettiği belirtiliyor.