Bu sıfır gün zafiyeti, resmi olarak CVE-2024-43047 olarak adlandırıldı ve Qualcomm, Google’ın Tehdit Analiz Grubu’ndan alınan belirtilere dayanarak “sınırlı, hedefli istismar” altında olabileceğini açıkladı.
Dijital gözetim ve casus yazılım tehditlerine karşı sivil toplumu koruma amacı güden Amnesty International’ın Güvenlik Laboratuvarı, Google’ın değerlendirmesini doğruladı.
ABD siber güvenlik ajansı CISA, Qualcomm açığını, bilinen veya daha önce istismar edilen zafiyetler listesine dahil etti. Şu an için, bu açığı “gerçek dünyada” istismar edenlerin kim olduğuna dair çok fazla bilgi bulunmuyor; yani bu sıfır gün zafiyetini kullananların belirli bireyleri hedef aldığı düşünülüyor. Ayrıca, hedef alınan bireylerin kim olduğu ya da neden hedef alındıkları da henüz bilinmiyor.
Qualcomm’un sözcüsü Catherine Baker, verdiği demeçte, “Google Project Zero ve Amnesty International Güvenlik Laboratuvarı’nın koordineli açıklama uygulamalarını kullanarak bu zafiyeti bildirdiğini” belirterek, şirketin güvenlik açığını düzeltmek için harekete geçme fırsatı bulduğunu söyledi. Qualcomm, tehdit faaliyetleri hakkında daha fazla ayrıntı için Amnesty ve Google’a yönlendirdi.
Amnesty sözcüsü Hajira Maryam, nonprofit kuruluşun bu zafiyetle ilgili araştırmalarının “yakında yayımlanacağını” belirtti. Google, yorum taleplerine yanıt vermedi. Qualcomm sözcüsü, düzeltmelerin Eylül 2024 itibarıyla müşterilerine sunulduğunu ifade etti. Şimdi, zayıf çipsetleri kullanan Android cihaz üreticilerinin, düzeltmeleri kendi kullanıcılarının cihazlarına dağıtması gerekiyor.
Qualcomm’un bildiriminde, bu zafiyetten etkilenen 64 farklı çipset listelenmiş durumda. Bu çipsetler arasında, Motorola, Samsung, OnePlus, Oppo, Xiaomi ve ZTE gibi birçok markanın kullandığı, şirketin amiral gemisi Snapdragon 8 (Gen 1) mobil platformu da bulunuyor.
Bu durum, dünya genelinde milyonlarca kullanıcının potansiyel olarak savunmasız olduğu anlamına geliyor. Ancak Google ve Amnesty’nin bu sıfır gün zafiyetinin “sınırlı, hedefli istismar” kapsamında incelenmesi, siber saldırıların muhtemelen belirli bireylere karşı gerçekleştirildiğini gösteriyor.
