Qualcomm, Bir Güvenlik Açığıyla Karşılaştı
Pazartesi günü, çip üreticisi Qualcomm, popüler Android cihazlarında bulunan düzinelerce çipte kötü niyetli yazılım tarafından kullanıldığı sırada donanım üreticisi tarafından bilinmeyen bir güvenlik açığı olan bir sıfır günü olduğunu doğruladı.
Güvenlik Zafiyeti ve Türleri
Sıfır günü zafiyeti, resmi olarak CVE-2024-43047 olarak tanımlanan, “kısıtlı, hedeflenmiş istismara maruz kalabilir” diye belirtiliyor. Bu bilgi, Google’ın Tehdit Analiz Grubu’ndan geliyor ve Google, hükümet hackleme tehditlerini araştıran araştırma birimi. Amnesty International’ın Güvenlik Laboratuvarı da Google’ın değerlendirmesini doğruladı.
Güvenlik Açığı Keşfedildi
ABD Siber Güvenlik Ajansı CISA, Qualcomm’un zafiyetini bilinen veya istismar edilen zafiyetler listesine dahil etti. Şu anda, bu zafiyeti “saha içinde” kimin kullandığı hakkında çok fazla ayrıntı bulunmamaktadır.
Qualcomm ve Çözüm
Qualcomm’un sözcüsü Catherine Baker, şirketin açığı düzeltmek için Google Project Zero ve Amnesty International Güvenlik Labı’ndan teşekkür ettiğini söyledi. Qualcomm, tehdit etkinliği hakkında daha fazla ayrıntı için Amnesty ve Google’a başvurdu.
Qualcomm’un sözcüsü, “2024 Eylül ayından bu yana düzeltmeler müşterilerimize sunulmuştur” dedi. Şimdi ise, Qualcomm’un müşterileri olan Android cihaz üreticileri, zafiyetli çipleri kullanan yamayı cihazlarına yayınlamakla yükümlüdür.
Milyonlarca Kullanıcı Potansiyel Olarak Tehlikede
Qualcomm’un bildirisinde, bu güvenlik açığından etkilenen 64 farklı çipset listelendi. Bu arada, Google ve Amnesty’nin bu sıfır günü kullanımını “kısıtlı, hedeflenmiş istismar” altında araştırdığını görüyoruz, bu da muhtemelen saldırının geniş bir hedef kitlesine değil, belirli bireyler üzerinde kullanıldığını göstermektedir.
Brian Heater’ın katkıda bulunduğu rapor hazırlanmıştır.
Güncelleme: Amnesty’nin Yorumu Eklendi
Güncelleme, 9 Ekim, 13:07’de yapıldı ve Amnesty’nin yorumu dahil edildi.
