Samsung Telefonlarda Kritik Güvenlik Açığı Bulundu

Google’ın Project Zero ekibinde çalışan güvenlik araştırmacısı Mateusz Jurczyk, 2015’ten itibaren çıkan bütün Samsung telefonları etkileyen kritik bir güvenlik açığı keşfetti. Güvenlik açığı hiçbir kullanıcı etkileşimi gerektirmeden, saldırganın hedefe Multimedya mesaj (MMS) göndermesiyle tetiklenebiliyor ve başarılı bir exploitation sonrası saldırgana telefon üzerinde erişim veriyor.

Android işletim sistemi resim yükleme ve göstermek için BMP, ICO, PNG, JPEG, GIF gibi formatları destekleyen açık kaynak Skia kütüphanesi kullanıyor. Güvenlik araştırmacısı yayınladığı raporda, Samsung’un QM, QG, ASTC, PIO gibi formatları da desteklemek için Samsung telefonlarda kullanılan Skia kütüphanesinin kaynak koduna eklemeler yaptığını belirtti. Güvenlik zafiyeti ise QM ve QG formatlarını işleyen kodda bulunuyor.

CVE-2020-8899 koduyla tanımlanan zafiyetin ismi “Zero-Click RCE Bug via MMS” olarak belirlendi. Zafiyetten etkilenmemek için Samsung telefon kullanıcılarının en son yayınlanan güvenlik güncelleştirmelerini yapması önerilmektedir. Zafiyetin teknik detaylarına buradan ulaşabilirsiniz.