Android Açık Kaynak Projesi’nde (AOSP), şubat ayı “Android Güvenlik Güncellemeleri” kapsamında, Google CVE-2019-1986, CVE-2019-1987 ve CVE-2019-1988 olarak tespit edilen güvenlik açıkları düzeltildi.
Google güncellemesinde yukarıdaki 3 açık dahil, mobil işletim sisteminde 11’i kritik, 30’u yüksek ve bir derece orta dereceli olmak üzere toplam 42 güvenlik açığı için yama yayınladı. Google bunların suçlular tarafından henüz kullanılmadığını da kaydetti.
Google mühendisleri en kritik olan 3 güvenlik açığı hakkındaki teknik detayları açıklamadılar. Güncellemelerin “yığın tampon taşması kusuru”, “SkPngCodec’teki hataları” ve PNG görüntülerini oluşturan bazı bileşenlerde bulunan hataların düzeltilmesi ile ilgili olduğu kaydedildi.
Bu açıklar, Android cihazların hacklenmesi ile ilgili. Bu açık sayesinde akıllı telefonlardaki görüntü dosyaları içine trojan koymak mümkün. Yani zararsız görünen bir fotoğrafı görüntülemek, Android akıllı telefonunuzu hackleyebilir. Yukarıda bahsedilen 3 açık sayesinde, Android 7.0 Nougat’tan, Android 9.0 Pie’na kadar kullanan milyonlarca cihaz tehlike altında.
Çünkü Google güncelleme yayınlamış olsa da, cihaz üreticilerinin hepsi düzenli olarak güncelleme sunmuyor. Dolayısıyla hala tehlike altında milyonlarca cihaz olabilir.
Bununla birlikte, her ahize üreticisi her ay güvenlik düzeltme eki sunmadığından, Android cihazınızın bu güvenlik düzeltme eklerini herhangi bir zamanda daha erken alıp almayacağını belirlemek zordur.
Google’ın üç güvenlik açığından biri, (.PNG) resim dosyasının güvenlik açığı bulunan Android cihazlarda kötü amaçlı hazırlanmış bir trojan sayesinde, rasgele kod yürütmesine izin verebilir. Bu sorunların en ciddisinin, Framework’te özel hazırlanmış bir PNG dosyası kullanan bir uzak saldırganın, ayrıcalıklı bir işlem kapsamında rasgele kod yürütmesine izin verebilecek kritik bir güvenlik açığı olduğu kaydediliyor.
Uzaktaki bir saldırgan, bu güvenlik açığından, yalnızca bir mobil mesaj hizmeti ya da e-posta uygulaması aracılığıyla gönderilen Android cihazlarında kullanıcıları kötü amaçlı hazırlanmış bir PNG resim dosyasını (çıplak gözle görmesi mümkün değildir) açmaya zorlayarak yararlanabilir.
Google, yayınlanmasından bir ay önce tüm güvenlik açıklarını Android iş ortaklarına bildirdiğini ve “bu sorunlar için kaynak kod eklerinin önümüzdeki 48 saat içinde Android Açık Kaynak Projesi’ne (AOSP) konulacağını” belirtti.