Microsoft güvenlik araştırmacıları, Android ekosistemini etkileyen kritik bir güvenlik açığını tespit etti. Yaygın kullanılan üçüncü taraf bir yazılım geliştirme kiti (SDK) olan EngageLab SDK’da bulunan zafiyetin, 50 milyondan fazla Android kullanıcısını potansiyel risk altına soktuğu bildirildi.
50 milyondan fazla kullanıcıyı ilgilendiriyor.
Microsoft, 50 milyondan fazla Android kullanıcısını etkileyen bir güvenlik açığını tespit etti. Açığın bilhassa kripto para cüzdanı uygulamalarını direkt etkilediği belirtildi. Araştırmalara nazaran bu uygulamaların toplam suram sayısı 30 milyonu aşarken, öteki uygulamalarla birlikte risk altındaki toplam sayının 50 milyonu geçtiği tabir ediliyor.
Söz konusu zafiyetin, makus niyetli bir uygulamanın tıpkı aygıttaki öteki bir uygulamanın yetkilerini kullanarak sistem güvenlik hudutlarını aşmasına imkân tanıdığı; bunun da kullanıcı bilgilerine müsaadesiz erişim riskini beraberinde getirdiği bildirildi.
Kişisesl bilgileriniz açığa çıkmış olabilir.
Araştırmacılara nazaran saldırganlar, aygıtta yüklü makûs emelli bir uygulama üzerinden bu açığı istismar ederek amaç uygulamaların iç dizinlerine erişim sağlayabiliyor. Bu durum, şahsî datalar, kullanıcı kimlik bilgileri ve finansal bilgiler üzere son derece hassas dataların açığa çıkmasına neden olabilecek önemli bir güvenlik riski oluşturuyor.
Kripto para uygulaması da riskte.
Sorunun temelinde, EngageLab SDK’nın uygulama içi inançlı ortamda çalışmasına karşın dışarıdan gelen kimi komutları gereğince doğrulamadan “güvenilir” olarak kabul etmesi yer alıyor. Bu durum, olağanda yararlı bir geliştirme aracı olan SDK’yı potansiyel bir hücum vektörüne dönüştürüyor.
Açığın bilhassa 30 milyondan fazla indirmeye sahip kripto para uygulamalarında tespit edilmesi ise güvenlik riskinin boyutunu daha da kritik hale getiriyor.
