Android cihazları üzerinde yapılan bir araştırma, Android kullanıcılarının uzun süreden beridir yüz yüze olduğu tehlikenin sebebini açığa çıkardı. Çoğu Android işletim sistemli akıllı telefon güvende değil, çünkü onları bir servis sağlayıcıdan kontratlı olarak satın aldığınızda operatörler ve üreticiler onları size açıklarla dolu olarak teslim ediyor.
Kryptowire, bu keşfin arkasındakli mobil güvenlik şirketi. Güvenlik firması yetkilileri yakın zamanda Amerika'da satılan on ayrı Android akıllı telefon modelinde ciddi güvenlik açıklarına rastladıklarını belirtiyor. Açıkların seviyeleri modelden modele değişse de problem bu açıkların operatörlerin ve üreticilerin Android üzerinde yaptıkları modifikasyonlardan kaynaklanmasında yatıyor. Üreticilerin Android sistemi üzerinde yaptığı değişiklikler sadece sistemde açıkların oluşmasına sebep olmakla kalmıyor, güncelleme döngülerinin aylarca, hatta yıllarca gecikmesine de neden oluyor.
Kryptowire CEO'su Angelos Stavrou, "Bu problem bitmeyecek, çünkü üreticiler ve tedarikçiler her zaman cihazların işletim sistemlerine değişiklikler yapmayı ve kendi uygulamalarını, kodlarını ekleyebilmeyi istiyor. Bu, saldırılara karşı akıllı telefonların açıklarının artmasının yanında yazılımda hataların oluşma ihtimalini de arttırıyor. Son kullanıcıyı baş edemeyecekleri durumlar ile karşı karşıya bırakıyorlar." şeklinde bir açıklamada bulundu.
Kryptowire, bulgularını bu haftaki Siyah Şapka Konferansı'nda Asus, Essential, LG ve ZTE gibi firmalarla ve birçok operatör ile paylaştı.Örnek olarak, Asus ZenFone V Live modelini kullananlar sistem genelinde o kadar ciddi bir güvenlik açığı ile karşı karşıyalar ki; bir saldırganın kendi telefonlarının ekran görüntüleni kaydetmesine, hatlarını kullanarak telefon edebilmesine, kısa mesajları okuyabilmesine ve mesaj metinlerini değiştirebilmesine karşı yapabilecekleri bir şey yok.
Bu tür ciddi problemler yazılım güncellemeleriyle giderilebilecek olsa bile, Stravrou bu sorunun kaynağının süreçte yattığını belirtiyor. "Güncellemeleri kullanıcının kabul etmesi gerekiyor. Size güncellemeleri gönderseler bile, bu güncellemeleri yükleyemeyebilirsiniz." Bu durum her şeyi daha ciddi bir hâle getirse de söz konusu riskin çoğu kullanıcının zararlı bir uygulamayı güvenlik açıkları bulunan bir cihaza yüklemesine dayalı. Stravrou ise bu noktayı vurguluyor:
"Tek bir şey kesin, o da tüketiciyi koruyan kimsenin olmaması. Bu açıklar sistemlerde öyle derin konumlanıyor ki kullanıcının ruhunun duyması imkânsız. Kullanıcılar bu tür açıkları fark etseler bile tek yapabilecekleri üreticilerin veya operatörlerin, her kim güncelemeyi sağlıyorsa bu açıkları fark edip düzeltmelerini beklemek."
Ancak şimdi Android'in güncelleme defterinde yeni bir sayfa açılıyor. Project Treble'ın yaygınlaşması ile bu konuda ilerleme kaydedileceğinizi düşünüyoruz. Project Treble, güncellemelerin geliştirmeleri konusunda üreticilere yardım edecek. Bu da modifiye edilmiş Android dağıtımlarındaki güvenlik açıklarının sayısını azalttığı gibi güncellemelerin sıklığını arttırarak Android'in belki de en önemli sorunu olan parçalanma sorununa da çözüm olacaktır.