Google, Android akıllı telefon üreticilerinin cihazlarına yama uygulama konusunda daha iyi olmaları gerektiği konusunda uyarıda bulunuyor.
İçinde Blog yazısı (yeni sekmede açılır) Google’ın siber güvenlik kolu Project Zero tarafından yayınlanan araştırmacılar, Android’in en büyük gücünün – ekosistemi ise ademi merkeziyetçiliğin – aynı zamanda en büyük zayıflığı olduğunu açıklıyor.
Şu anki haliyle, yama işleminin çok yavaş, çok hantal ve çok bölünmüş olduğunu ve tüketicileri bilinen ve yararlanılması nispeten kolay güvenlik açıkları riski altında bıraktığını söylüyor.
Android, Google tarafından inşa edilmiş olsa da Linux tabanlıdır ve esasen açık kaynaklı bir çözümdür, bu nedenle Samsung, Oppo, LG ve OnePlus gibi üçüncü taraf akıllı telefon üreticileri işletim sistemi sürümünün sahipliğini alabilir.
Sonuç olarak, Google bir yama yayınladığında, cihaza gönderilmeden önce üretici tarafından analiz edilmesi ve değiştirilmesi gerekir. Bu, Android kullanıcılarının uzun bir süre boyunca kötü amaçlı yazılımlardan etkilenme riskiyle karşı karşıya kalabilecekleri anlamına gelir.
Bu süre çok uzarsa ve Google güvenlik açığı ayrıntılarını kamuoyuna açıklarsa bu, siber suçlulara yeni sıfır gün aramalarına gerek kalmadan uç noktaları tehlikeye atmak için benzersiz bir fırsat verir.
Buna karşılık Apple, cihazları için kapalı bir ekosistem sunuyor. Şirket, donanım ve yazılımlarının çoğunu oluşturmaktan sorumludur. Bu nedenle, Apple’ın sıkı kontrolü altındaki güncellemelerle, şirket bir yama yayınladığında, çoğu uç nokta bunu oldukça hızlı bir şekilde alıyor.
Birçok Android cihazı tarafından kullanılan ARM Mali GPU sürücüsündeki bir güvenlik açığı olan CVE-2021-39793’te olan tam olarak buydu. TechRadar Pro Kasım 2022’de bildirildi.
Google, Temmuz 2022’de sıfır günle ilgili araştırmasını tamamlar tamamlamaz bulguları ARM’ye bildirdi ve ARM, Ağustos 2022’de yama yaptı. Otuz gün sonra, Google bulgularını kamuoyuna açıkladı.
Ancak Google, Mali’yi kullanan tüm test cihazlarının sorunlara karşı savunmasız kaldığını tespit etti. O sırada “CVE-2022-36449’dan herhangi bir aşağı akış güvenlik bülteninde bahsedilmiyor” diyerek “yama boşluğu” adını verdiği konuyu gündeme getirdi.
Blog gönderisinde, “Kullanıcılara, güvenlik güncellemelerini içeren bir sürüm kullanıma sunulduğunda olabildiğince hızlı bir şekilde yama yapmaları önerildiği gibi, aynı şey satıcılar ve şirketler için de geçerli” diyor.
“Bu senaryolarda bir satıcı olarak “yama açığını” en aza indirmek tartışmasız daha önemlidir, çünkü son kullanıcılar (veya diğer satıcılar) yamanın güvenlik avantajlarından yararlanmadan önce bu eylemi engeller.”
“Şirketlerin tetikte olması, yukarı akış kaynaklarını yakından takip etmesi ve kullanıcılara mümkün olan en kısa sürede eksiksiz yamalar sağlamak için ellerinden gelenin en iyisini yapması gerekiyor.”
işletim-sistemi-1