Bazı Android telefon üreticilerinin güvenlik yamalarıyla ilgili yanlış beyanlarını, bunun güvenlik açısından sonuçlarını ve genel olarak Android platformunun güvenliğini bu makalemizde bulabilirsiniz.
Google uzun süredir çok sayıdaki Android telefon üreticisi ve yüzlerce telefon operatörünün, güvenlik odaklı yazılım güncellemelerini nasıl vereceği konusunda mücadele veriyor. Yeni Android sürümlerine az sayıda cihazın geçebilmesi ve düzenli güncelleme alan modellerin çok az olması gibi problemlerin yanı sıra yeni bir sorun daha tespit edildi.
Geçen ay Amsterdam’da gerçekleştirilen Hack in the Box güvenlik konferansında Security Research Labs firmasından güvenlik uzmanları iki yıllık bir tersine mühendislik çalışmasının sonuçlarını paylaştı. Bu çalışmada yüzlerce Android telefonun işletim sistemi kodları incelendi ve telefonların ayarlar kısmında belirttiği güvenlik yamasını gerçekten içerip içermediğini kontrol etti. Ortaya oldukça ilginç sonuçlar çıktı.
Birçok olguda belirli telefon üreticilerinin güvenlik yamaları ile ilgili yanlış beyanda bulunduğu ve pek çok ciddi açıkla ilgili yamayı sunmadıkları ortaya çıktı. Uzmanlar üreticilerin yamaları gerçekten eklemesi ile beyan ettikleri zaman arasında farklar olduğunu belirti. Bu bazı üreticilerin yanlışlıkla, bazı üreticilerin kasıtlı olarak yanlış beyanda bulunduğu ifade edildi.
Ayarlar kısmında yer alan güvenlik yaması sürüm bilgisini, rootlanmış telefonlarda build.prop üzerinden ro.build.version.security_patch değerini düzenleyerek kolayca değiştirmek bile mümkün.
Araştırmanın Detayları
SRL, 12’den fazla telefon üreticisinden 2017 yılında yayınlanmış her Android güvenlik yamasına yönelik 1.200 adet firmware test etti. Google, Sony, Samsung, HTC, LG, Motorola, Nokia, OnePlus, Xiaomi, Huawei, ZTE, TCL, WIKO araştırmada test edilen üreticiler. Araştırmada Google’ın Pixel 2 gibi kendi telefonları dışında büyük üreticilerin bile yanlış beyanda bulunduğu ortaya çıktı. Daha az güvenilir firmalarda ise daha vahim bir tablo ortaya çıkıyor. Araştırmacıların da belirttiği üzere bu hatalı beyanlar yanlış bir güvenlik hissinin oluşmasına sebep oluyor.
Araştırmacılar Sony, Samsung gibi firmaların bir ya da iki yamayı eksik bırakmasını kötü niyeti olmayan bir yanlışlık olarak tanımlıyor. Ama bazı durumlarda sonuçların açıklanması daha zor bir durum alıyor. Örneğin 2016 model Samsung J5’te güvenlik yamaları ile ilgili bilgiler tamamen doğru olarak yer almaktayken, 2016 J3 modelinde belirtilen güvenlik yaması 2017 yılına ait olmasına rağmen 12 tane yamayı içermiyor. Bu açıklardan 2’si de kritik olarak ifade ediliyor.
Tüm bu tutarsızlıklar göz önüne alındığında, kullanıcıların hangi yamaların yüklü olduğunu bilmesi neredeyse imkansız hale geliyor. Araştırmacılar tarafından ortalama eksik yama sayısı göz önünde bulundurularak dört kategorili bir sınıflandırma yapılmış.
| Eksik Yamalar | 0-1 | 1-3 | 3-4 | 4+ |
| Üreticiler | Google Sony Samsung WIKO | Xiaomi OnePlus Nokia | HTC Huawei LG Motorola | ZTE TLC |
SRL, ortaya çıkan bu durumun bir sebebinin de çip üreticilerinin güvenlik yamalarının gecikmesine yol açması olarak görüyor. Örneğin Samsung tarafından üretilen işlemcilere sahip telefonlar çok az sayıda eksik yamaya sahipken, Tayvan merkezli MediaTek firmasına ait çipleri kullanan üreticiler ortalama 9.7 eksik yama içeriyor. Ucuz telefonların ucuz çipleri kullanıp güvenlik yamalarını pas geçme ihtimali daha fazla. Ama özellikle telefonun kullandığı çipte bir açık bulunduysa, telefon üreticileri yama sunmak için çipleri üreten firmalara muhtaç.
| Eksik Yamalar | <0.5 | 1.1 | 1.9 | 9.7 |
| Çip Üreticisi | Samsung | Qualcomm | Hi-Silicon | Mediatek |
Google ise bu araştırmaya yönelik açıklamada bulunup incelenen telefonların Android sertifikalı cihazlar olmayabileceğini, yani Google’ın güvenlik standartlarını karşılayamadıklarını ifade etti. Aynı zamanda yeni Android telefonların güvenlik özelliklerinin yamanmamış açıklar olsa bile hacklenmesinin oldukça zor olduğunu ifade etti. Ek olarak bazı üreticilerin açığa sebep olan paketleri yamamak yerine kaldırmayı tercih ettiğini ve bu durumun ulaşılan sonuçlar üzerine etkisi olabileceği belirtildi. SRL ise Google’ın bahsettiği bu durumların anlamlı sayılara ulaşmadığını ifade etti.
SRL araştırmacıları da Google’ın belirtmiş olduğu bir noktayı, yani açıklar olsa bile bir Android telefonu hacklemenin çok zor olduğunu belirtiler. Android platformu altında bir çok güvenlik katmanı mevcut. Örneğin “Space layout randomization” Android 4.0 ile birlikte sunulmuş bir özellik. Bellek üzerinde programın konumunun rastgele atanmasını sağlıyor ve zararlı yazılımların telefonların diğer bölümlerine ulaşmasını zorlaştırıyor. Ayrıca sandboxing, güvenlik hizmetleri gibi ek katmanlar ile de önlemler alınmış.
Hack yöntemleri genellikle tek bir açıktan değil de birden fazla açığın sunmuş olduğu avantajdan yararlanacak şekilde geliştiriliyor. Bu yüzde belirli bir yama eksik olsa bile bu açığı işe yarar şekilde kullanabilmek mümkün olmayabiliyor.
SRL araştırmaları ayrıca saldırılarda özellikle yamanmış ve bilinen açıkların değil de, zero-day olarak tanımlanan yeni açıkların ya da bunların var olan açıklarla birlikte kullanıldığını ifade ediyor.
Diğer Sorunlar
Güvenlik yamalarının yanlış beyanı var olan sorunun yalnızca küçük bir parçası. Rakip iOS platformundan farklı olarak Android sürümlerindeki güncellemeler istisnalar dışında ya telefonlara hiç sunulmuyor ya da aylar geçtikten sonra sunuluyor. Örneğin en Samsung Galaxy S9 gibi en yeni telefonlarda bile güvenlik yaması şu anda dört ay önceye ait.
Android Güncellemeleri Neden Uzun Sürüyor yazısında da anlatıldığı üzere, güncellemelerinin gecikmesinde birçok faktör söz konusu. Google bu sorunları çözmek için Treble projesini duyurdu. Bu projeyle birlikte Android ile üretici bölümleri birbirinden ayrılıyor ve böylelikle yeni Android sürümlerinin ve güncellemelerinin sunulması daha kolay hale geliyor. Proje henüz tam olarak hayata geçmemiş olsa da umut veriyor.
Google’ın açıkladığı son verilere göre Android telefonların neredeyse %64’ü Android 6 ve daha önceki sürümleri kullanıyor. Bu ciddi bir güvenlik zafiyeti oluşturuyor. Google rakibi Apple ile kıyaslandığında bu konuda hayli geride kalıyor. Gelecek Eylül ayında iPhone 5S 5. destek yılına ulaşmış olacak. 5 yıldır resmi destek sunulan bir Android telefon ise neredeyse mevcut değil.
Konferanstaki konuşmaya bu bağlantıdan ulaşabilirsiniz.
