Android her ne kadar açık kaynaklı bir mobil işletim sistemi olsa da kullanıcı potansiyelinin de etkisiyle sürekli olarak siber korsanların ve siber güvenlik uzmanlarının oyun alanı haline geliyor. Japonya'daki PacSec konferansında ortaya çıkarılan Android'e sızma tekniği de bunun son örneği.
Çinli Quihoo 360 antivirüs şirketindeki araştırmacılardan Guang Gong, söz konusu açığı 3 aylık bir çalışma sonucunda ortaya çıkarmış ve tek bir bağlantı ile Androidli cihazın yönetiminin ele geçirilebileceğini gösteriyor.
Bu açık Android'in sadece eski sürümlerini değil, güncel sürümlerini de tehdit ediyor ki sunumda kullanılan cihaz yeni bir Google Project Fi Nexus 6.
Chrome üzerinde JavaScript v8 hedeflemesiyle sonuca ulaşan tehditin açık tek bir kanal üzerinden ilerlediği, çoklu/zincirleme bir sızıntı olmadığı ifade ediliyor.
PacSec organizatörü Dragos Ruiu de etkili tek bir saldırıyla sonuca ulaşmanın önemli olduğunu ifade ediyor. Chrome üzerinde tıklanan bağlantı telefona bir program/oyun indiriyor ve telefonun kontrolünü tamamen eline geçiriyor.
Bu etkinlikte kötü niyet gütmeden paylaşılan açığın Google tarafından ödüllendirilip ödüllendirilmeyeceği net değil. Siber güvenlik uzmanları geçen yıl 425 bin dolarlık nakit ödül için hünerlerini sergilemiş ama istediklerini alamamışlar.
Teknoloji devleri siber güvenlik uzmanlarının resmi hata bulma programlarına katılmalarını beklerken Dragos Ruiu bu tür etkinliklerde gösterim yapılmasının önemli olduğunu paylaşıyor.
Görsel Kaynak: Shutterstock
