Google, Mobil Chrome Açığını Yeni Onardı!
Google, Chrome'un Android sürümünde üç yıl önce keşfedilen bir açığı kısmen de olsa, yeni onardı!
Google, Chrome'un Android sürümünde yaklaşık üç sene önce ortaya çıkan bir hatayı onardı.
Mayıs 2015'te Nightwatch Cybersecurity'deki bug avcılarının bulduğu sorunun onarılması, ancak Google'ın sorunun bir tehdit olabileceğini fark etmesiyle gerçekleşti. Güvenlik açığı, mobil tarayıcının cihazın donanım modelini ve firmware sürümünü, dolayısıyla güvenlik yaması seviyesini sızdırmasına yol açabiliyor.
Aynı sorun Chrome'un masaüstü sürümünde yer almıyor. Tarayıcılar, web sitelerine kullandığınız işletim sistemi, kullandığınız tarayıcının sürümü gibi bilgileri gönderiyorlar. Ancak Chrome'un Android sürümünün cihaz adını da gönderdiği (C6606 gibi) biliniyor. Cihaz adı rastgele gibi görünse de, listeler sayesinde hangi cihaz olduğu kolayca bulunabiliyor. Örneğin C6606, Sony Xperia Z'ye denk geliyor.
Bu bir güvenlik sorunu oluştururken firmware ayrıntılarının paylaşılması, ayrı bir güvenlik sorunu oluşturuyor. Nightwatch Cybersecurity'ye göre bu bilgi sadece cihazın modelini tanımlamakta değil, cihazın hangi mobil taşıyıcıda ve ülkede çalıştığını algılamakta da kullanılabiliyor. Firmaya göre yapı numaraları, üreticiden ve mobil sağlayıcının sitesinden kolayca edinilebiliyor.
Yapı numarası, cihazın güvenlik yama seviyesini saldırganlara verebildiğinden, saldırganların cihazın açıklarının hangileri olduğunu bulabiliyor.
Google, Ekim 2018'de Chrome 70 ile kısmı bir onarım yayınlasa da tarayıcı, cihaz isimlerini hala sızdırıyor. Dahası Facebook gibi uygulamaların faydalandığı dahili tarayıcı WebView, yapı numarasını yayınlamayı sürdürüyor.