Virgo Blog
Samsung S6 EdgeBiliyorsunuz Android işletim sistemi Google'ın yazılımı. Öte yandan Android işletim sistemi kullanan donanımlarda firmware geliştirme ve güncelleme işini bazı mobil ağ operatörleri ve çoğunlukla da üzerinde çalıştığı cihazın donanım üreticileri yapıyor. Hal böyle olunca Android tarafında rahatsız edici bir standartsızlık ve karmaşa olduğunu söyleyebiliriz. Apple'da örneğin, hem donanımı, hem işletim sistemini, hem de firmware'i Apple geliştirdiği için böyle bir sorun yok. Orada da bir kutuya hapsedilmişlik duygusu var ama o da başka bir blog makalesinin konusu.

Google boş durur mu?

Elbette durmaz, sonuçta Android Google'ın bir ürünü ve mümkün olduğunca ürünlerinin nasıl değerlendirildiğini takip etmeye çalışıyorlar. Google'ın güvenlik uzmanlarından kurulu Project Zero isimli bir ekibi var, Google böyle bir ekip kurulduğunu Temmuz 2014'de duyurmuştu. Tamamına yakınının ethical hacker'lardan oluştuğunu tahmin ettiğim bu ekibin işi yazılımlardaki güvenlik açıklarını araştırıp, ortaya çıkartmak. Project Zero sadece Google tarafından geliştirilen yazılımları incelemiyor, örneğin Project Zero 2014'ün Eylül ayında Windows 8.1 işletim sisteminde önemli bir açık keşfetmişti.

Samsung Galaxy S6 Edge mercek altına alınıyor

Android işletim sistemiyle çalışan Galaxy S6 Edge, şu an için Samsung'un akıllı telefon kategorisindeki amiral gemisi. Project Zero tarafından inceleme altına alınmasının başlıca nedeninin de bu olduğunu tahmin ediyorum. Project Zero bu inceleme için biri Kuzey Amerika'da, biri Avrupa'da olmak üzere iki ekip kurmuş ve Samsun S6 Edge'i masaya yatırmış. Sadece bir hafta süren bir inceleme sonunda S6 Edge'de tam onbir önemli güvenlik açığı keşfedilmiş.

Burada hemen şunu not düşeyim; Project Zero'nun çalışma sistemi gereği, güvenlik açıkları hemen kamuoyu ile paylaşılmıyor. Google öncelikle yazılımcı firmaya ulaşarak güvenlik açıkları ile ilgili bilgi veriyor ve söz konusu güvenlik açıkları kamuoyu ile paylaşılmadan önce yazılımcı firmaya açıkları kapatması için 90 günlük süre tanıyor. Eğer bu 90 günlük süre zarfında güvenlik açıkları kapatılmazsa, Google tüketicilerin kendi önlemlerini alması için durumu kamuoyu ile paylaşıyor. Örneğin Eylül 2014'de Windows 8.1 işletim sisteminde bulunan güvenlik açığı konusunda Microsoft bir skandala imza atmış ve 90 günlük süre zarfında bu açığı kapatacak bir yama geliştirmemişti. Google da Aralık 2014 sonunda Microsoft'a tanınan süre dolduğu için güvenlik açığını kamuoyu ile paylaşmıştı.

Samsung da güvenlik açıklarını zamanında kapatamamış

Samsung, kendilerine 90 gün önce bildirilen 11 güvenlik açığından üçünü zamanında yamayamadığı için Project Zero 2 Kasım 2015 tarihinde bulunan güvenlik açıklarını kamuoyu ile paylaştı. Samsung'un gelecek aylarda kalan bu üç güvenlik açığını da kapatması umuluyor.

Daha önce Android işletim sisteminde bulunan Stagefright güvenlik açığı ile ilgili yazdığım makalede de belirttiğim gibi, Android iyi, güzel ama firmware güncelleştirmelerinin asıl işi yazılım olmayan donanım üreticilerince yapılıyor olması bana göre ciddi bir sorun. Bu firmalar açıkça bu işi pek iyi beceremiyorlar, Galaxy S6 Edge Samsung'un amiral gemisi olduğu için elbette yazılım güncellemeleri konusunda öncelikli bir konumda ama tüm üreticilerin uygun fiyatlı, orta ve alt sınıf modelleri yazılım tarafında neredeyse hiç destek bulamıyor.

S6 Edge mercek altına alındı ve güvenlik açıkları ortaya çıkartıldı. Peki ama geriye kalan onlarca üreticinin yüzlerce modeli acaba ne durumda?

Sevgiyle kalın...
Mustafa Odabaşı

This email address is being protected from spambots. You need JavaScript enabled to view it.

Mustafa Odabaşı

Virgo'nun kurucu ortaklarından Mustafa Odabaşı, bundan 20 küsür sene önce, bilişim sektörüne profesyonel olarak ADA NET'de adım atmıştır. Cyberspace ile Türkiye'ye internetin gelmesinden çok önce BBS'ler vasıtasıyla tanışan Mustafa Odabaşı, Türkiye'nin ilk ve en geniş mesaj ağı HiTNeT'in de eski SysOp'larındandır. Halen bilgi ve tecrübelerini Virgo'da hizmet üreterek değerlendirmektedir.