Google’dan Samsung’a Uyarı!

Google, Android platformunda Linux çekirdek kodlarını değiştirmek için önde gelen mobil üreticilerinden bazılarını çarptı. Google’ın Project Zero güvenlik ekibine göre, birkaç telefon üreticisi cihazlarını daha güvenli hale getirmek için yazılımla uğraştı – ancak süreçte telefonları ciddi güvenlik hatalarına karşı savunmasız hale getirdi.Buna, Android Linux çekirdeği ile uğraşmak, şirketin cihazlarını bir dizi tehdide maruz bırakan Samsung da dahil.
Google, üreticilerin çekirdeğinde gereksiz değişiklikler yapmak yerine Android’in dahili güvenlik özelliklerini kullanmasını önerdi.

Samsung’un Galaxy A50 örneğini belirten Google’ın Jann Horn, bu değişiklikleri yaparken Samsung’un özel sürücüler eklediğini ve böylece çekirdeğe doğrudan erişim sağladığını ortaya koydu. Bu, cihazdaki güvenliği artırmak için tasarlanmış olsa da, bir bellek bozulması hatası yarattı.

Samsung, hatayı Android 9 Pie ve Android 10 çalıştıran cihazlarda ücretsiz ve çift serbest güvenlik açıklarını içeren ve şirketin PROCA (Process Authenticator) güvenlik alt sistemini içeren orta düzeyde bir sorun olarak nitelendirdi. Bu hata, şirketin son Şubat güncellemesinde bir güncelleme ile düzeltildi.

Horn’un gönderileri, aygıta özgü çekirdek değişikliklerinin sık sık bir güvenlik açığı kaynağı olduğunu ve bunları Google’ın işletim sistemini güvenli hale getirme çalışmalarını reddeden “gereksiz” olarak adlandırdığını ileri sürüyor.

Samsung’dan bir cihazdaki değişikliklerden birinin “keyfi çekirdek okuma / yazma” kazanan bir saldırganı kısıtlamayı amaçladığını belirten bir başka örnek daha vurguladı. Bu değişikliklere “nafile” diyerek, bir bilgisayar korsanının bu noktaya bile ulaşmamasını sağlamış olsaydı mühendislik kaynaklarının daha iyi kullanılamayacağını belirtti.“İdeal olarak, tüm satıcıların desteklenen yukarı akış çekirdeklerinden kullanmaya ve sık sık güncellemeleri uygulamaya yönelmesi” yönünde bir itirazla sonuçlandı.