Virgo Blog
Android'de kabus: Stagefright27 Temmuz 2015'de, Zimperium isimli mobil güvenlik şirketi, kabaca 950 milyon akıllı telefon üzerinde çalışan Android işletim sisteminde çok ciddi ve ürkütücü bir açık keşfettiğini duyurdu: Stagefright! Android v2.2 ve üzeri tüm Android versiyonlarını etkileyen bu güvenlik açığı, yakın gelecekte çok ciddi problemlere yol açabilecekmiş gibi duruyor.

Nedir bu Stagefright?

Stage Fright ingilizce "sahne korkusu" anlamına gelmekle birlikte, Android işletim sisteminde, Android'in MP4 gibi çok sayıda multimedya formatını işlemesine yardımcı olan libStageFright isimli bir yazılım kütüphanesi, bir temel mekanizma bulunuyor. Güvenlik açığı, ismini de içerisinde bulunduğu bu mekanizmadan almış. Stagefright güvenlik açığı, bir mobil cihaza MMS ile gönderilen bir video dosyası üzerinden işletim sistemi yetkilerine erişim ve uzaktan kod çalıştırılabilmesine imkan veriyor.

İşin daha da kötü tarafı, oldukça popüler olan Google Hangouts benzeri birçok text mesajlaşma uygulaması, mesajı açtığınızda gösterime hazır durumda olması için video dosyalarını mesaj alındığı anda otomatik olarak işliyor. Bu, şu demek: Stagefright yolu ile avlanmanız için size gönderilen mesajı açmanıza dahi gerek yok. Av olduğunuzdan haberiniz dahi olmadan Stagefright'a kurban gidebilirsiniz.

Nayır, nolamaz!

Durun, kötü haberlerim bitmedi ne yazık ki. Android işletim sistemi Google tarafından geliştiriliyor olmakla birlikte, firmware geliştirme ve güncelleme işini bazı mobil ağ operatörleri ve çoğunlukla da akıllı telefon üreticileri yapıyor. Yani eğer Samsung marka bir telefonunuz varsa, Android'in Samsung tarafından kendilerine özel geliştirilmiş firmware'li versiyonunu, Sony marka bir telefonunuz varsa, Sony tarafından geliştirilmiş versiyonunu kullanıyorsunuz.

Bu yapı, ilk bakışta belli etmese de, Stagefright benzeri güvenlik açıkları söz konusu olduğunda çok büyük bir problemin ortaya çıkmasına neden oluyor. Her telefon üreticisi, kendi yazılımı için Stagefright'a yönelik güvenlik güncelleştirmelerini kendisi yapmak durumunda. Asıl işleri donanım üretmek olan bu firmaların, yazılım konusunda pek başarılı olmadıkları da bilinen bir acı gerçek. Telefon üreticileri yazılım güncellemeleri konusunda fazlasıyla yavaşlar ve eski Android versiyonları için hiç güncelleme çıkmaması da ihtimaller dahilinde.

Bir Android kullanıcısı olarak umarım korktuğum senaryolar gerçekleşmez diyeyim. Sevgiyle kalın, eğer şu aralar telefonunuzu değiştirmeyi düşünüyorsanız Android'lerden bir süreliğine uzak durun.
Mustafa Odabaşı

This email address is being protected from spambots. You need JavaScript enabled to view it.

Mustafa Odabaşı

Virgo'nun kurucu ortaklarından Mustafa Odabaşı, bundan 20 küsür sene önce, bilişim sektörüne profesyonel olarak ADA NET'de adım atmıştır. Cyberspace ile Türkiye'ye internetin gelmesinden çok önce BBS'ler vasıtasıyla tanışan Mustafa Odabaşı, Türkiye'nin ilk ve en geniş mesaj ağı HiTNeT'in de eski SysOp'larındandır. Halen bilgi ve tecrübelerini Virgo'da hizmet üreterek değerlendirmektedir.