Tavsiye, 2019

Editörün Seçimi

Android'in medya işleme hizmetinde bulunan bir başka ciddi güvenlik açığı

Multimedya dosyalarını işleyen bir Android hizmeti, son zamanlarda hassas izinlere haydut uygulamalarına erişebilecek yeni bir tane de dahil olmak üzere, birkaç güvenlik açığının kaynağı olmuştur.

Son güvenlik açığı Android'in mediaserver bileşeni, antivirüs firması Trend Micro'nun güvenlik araştırmacıları tarafından keşfedildi ve AudioEffect adlı bir özellikten kaynaklanıyor.

Bu özelliğin uygulanması, medya oynatıcı uygulamaları gibi müşteriler tarafından sağlanan bazı arabellek boyutlarını düzgün şekilde kontrol etmiyor. Bu nedenle, Trend Micro araştırmacıları Pazartesi günlüğüne bir blog yazısında "Bir yığın taşmasını tetiklemek için kusurdan yararlanabilecek herhangi bir özel izin olmaksızın bir haydut uygulaması yapmak mümkündür.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır? ]

Güvenlik açığından yararlanarak, haydut uygulama, resim çekmeyi, video kaydetmeyi, MP4 dosyalarını okumayı ve diğer gizlilik duyarlı işlevleri de içeren, mediaserver bileşeni ile aynı eylemleri gerçekleştirebilecekti.

Android sürümlerini 2.3'ten 5.1.1'e, Haziran ayında Google'a bildirdi ve araştırmacılara göre, 1 Ağustos'ta Android Açık Kaynak Projesi'ne (AOSP) bir düzeltme yayınlandı.

Artık telefona üreticiler düzeltmeyi kodlarına dahil edecek ve etkilenen cihazlar için ürün yazılımı güncellemelerini yayınlayacak. Android ekosistemindeki güncellemelerin dağılımı son zamanlarda bazı iyileştirmeler göstermesine rağmen, artık desteklenmediği için yamayacak pek çok cihaz olacaktır.

Ağustos ayının başında birçok cihaz satıcısı büyük ölçekli bir yama başlattı Android'in medya işleme kodundaki ayrı bir güvenlik açığına yanıt olarak gösterilecek çaba. Hata geçen ay ortaya çıktı ve bir MMS mesajı veya bir Web sayfası aracılığıyla uzaktan kullanılabilir.

Black Hat güvenlik konferansında 5 Ağustos'ta yapılan bir konuşmada, Android'in lider güvenlik mühendisi Adrian Ludwig, Stagefright yamasına atıfta bulundu. “Dünyanın en büyük tek birleşik yazılım güncellemesi” olarak çaba gösterildi.

Ancak, Exodus Intelligence adlı bir firmanın güvenlik araştırmacıları, geçen hafta Google'ın Stagefright kusuru için ilk yama eksik olduğunu bildirdi. Bu, Android ekibini, Google'ın ortaklarına dağıtdığı ve Eylül ayında Nexus ve Nexus Oynatıcı cihazlarına teslim edeceği başka bir yama oluşturmaya zorladı.

Stagefright güvenlik açığı ve bu son AudioEffect kusuruna ek olarak, Trend Micro'dan araştırmacılar, yakın zamanda Android'in medya sunucusu bileşenindeki aygıtları yeniden başlatma döngüsüne zorlayabilen veya yanıt vermemelerine neden olabilecek diğer iki güvenlik açığını da bildirdi.

İlk Stagefright güvenlik açığını bulan araştırmacı ve Trend Mikro araştırmacılar, Android'in multimedya işlem kodunun gelecekteki güvenlik açıklarının kaynağı olabileceği konusunda uyardılar.

Top