Amerikan hükümeti, Forbes'un orijinal haberine göre, Pixel telefonlardaki güvenlik güncellemesini 4 Temmuz'a kadar zorunlu kılarak ciddi bir uyarıda bulundu. Bu, Android işletim sistemindeki yüksek düzeyde cihazları "sınırlı, hedefe yönelik istismara" açabilecek bir firmware güvenlik açığı nedeniyle gerçekleşti.
Zero day saldırısının bir yaması zaten mevcut ancak cihazın güncel olup olmadığını kontrol etmek için ayarlar uygulamasını ziyaret etmeyi gerektiriyor. 4 Temmuz tarihine kadar güvenlik güncellemesini yüklemeyen hükümet çalışanları, ürünün kullanımını "durdurmalıdır." Bu uyarı, özellikle kurumsal sunuculara bağlananları da içeren geri kalanımızın da dikkate alması gereken bir uyarıdır.
Google, güvenlik açığına ilişkin gerçek detayları hakkında sessiz kalmayı tercih ederken, hükümetin bu duruma dahil olması, durumun sıradan bir istismardan daha ciddi olduğunu gösteriyor gibi. Federal zorunluluk yalnızca Pixel cihazlarına yönelik olsa da, görünüşe göre saldırı diğer Android telefonlarına da yayılabilir.
Android'e dayalı bir işletim sistemi olan GrapheneOS'un arkasındaki ekip, bu güvenlik açığının sadece Pixel telefonları için geçerli olmadığını belirtiyor. Organizasyon, güvenlik güncellemesi olduğunda bu düzeltilmenin Android 15 güncellemesinin bir parçası olacağını ve Ağustos'ta yayınlanacağını belirtiyor, ancak geriye dönük olarak uygulanmadığını belirtiyor. Bu nedenle, işletim sistemini güncelleme seçeneğini tercih etmezseniz, muhtemelen bu yamayı alamayacaksınız. Diğer risk azaltma seçeneklerinin olup olmadığı henüz belirsizliğini koruyor. Google'a başvurduk ve daha fazlasını bildiğimizde bu yazıyı güncelleyeceğiz.
GrapheneOS'un geliştiricilerinin belirttiği gibi, 2024 32896 CVE numaralı güncellemesi, 2024 Pixel Güncelleme Bullettininde çıkan ve gerçek dünyada etkin olarak kullanılan güvensizliğin 2. kısmını oluşturuyor ve bu aslında Pixel özel bir durum olmaması gerektiğini ortaya koyuyor.
KEV (Bilinen Kötüye Kullanılmış Güvenlik Açıkları) kataloğunda açıklanan hükümetin verdiği uyarı da detaylarıyla cimri davranıyor. Uyarı, sadece "Android Pixel'in firmware'inde ayrıntısı belirtilmeyen bir açığa izin veren ayrıcalık yükseltmesi içerdiğini" belirtiyor. GrapheneOS, güvenlik açığı hızlı başlatma modunda çalışırken belleği silmediğini, böylece kötü niyetli kişilerin sistemi istismar etmesine "önceki işletim sistemi belleğine" erişebileceğini belirtiyor.
Özetlemek gerekirse, Pixel Telefonunu hemen ayarlar uygulaması üzerinden güncelleyin, diğer Android telefonları kullananlar şimdilik beklesin. Bu tür zero day saldırılarıyla oynamak asla akıllıca değildir ve ABD hükümetinin bu duruma dahil olması tehdit seviyesini kesinlikle artırmış gözüküyor.