Google özellikle Pixel cihazları başta olmak üzere Android sistemini etkileyen açıklara karşı güvenlik yamaları yayınladı. Bu yamalardan birisi de CVE-2024-32896 olarak takip edilen bir açıkla ilgili. Pixel aygıt yazılımındaki bu ayrıcalık yükseltme (EoP) açığı, yüksek önem derecesine sahip bir güvenlik sorunu olarak değerlendiriliyor. Arama devi yaptığı açıklamada, “CVE-2024-32896’nın sınırlı, hedefli istismar altında olabileceğine dair göstergeler var” uyarısında bulundu ve ekledi: “Desteklenen tüm Google cihazları 2024-06-05 yama seviyesine bir güncelleme alacaktır. Tüm müşterilerimizi cihazlarına bu güncellemeleri kabul etmeleri konusunda teşvik ediyoruz.”
Google, bu ayki Pixel güncelleme bülteninde yedisi kritik olarak kabul edilen ve çeşitli alt bileşenleri etkileyen ayrıcalık yükseltme güvenlik açıkları olmak üzere 44 başka güvenlik hatasını etiketledi. Pixel cihazları da Android kullanıyor olsa da, özel özellikleri ve yetenekleri ve doğrudan Google tarafından kontrol edilen benzersiz donanım platformu nedeniyle tüm Android OEM’lerine dağıtılan standart aylık yamalardan ayrı güvenlik ve hata düzeltme güncellemeleri alırlar.
Pixel güvenlik güncellemesi nasıl yapılır?
Google’ın kendi akıllı telefon serisine özel güvenlik bülteninde Pixel için Haziran 2024 güncellemeleri hakkında daha fazla ayrıntı bulabilirsiniz. Güvenlik güncellemesini uygulamak için Pixel kullanıcılarının Ayarlar > Güvenlik ve gizlilik > Sistem ve güncellemeler > Güvenlik güncellemesi’ne gitmeleri, Yükle’ye dokunmaları ve güncelleme işlemini tamamlamak için cihazı yeniden başlatmaları gerekmektedir.
Nisan ayında Google, adli tıp firmaları tarafından telefonların kilidini PIN olmadan açmak ve verilere erişmek için istismar edilen diğer iki Pixel sıfır gününü düzeltti. CVE-2024-29745, Pixel önyükleyicisinde yüksek şiddette bir bilgi ifşa hatası olarak etiketlenirken, CVE-2024-29748, Pixel ürün yazılımında yüksek şiddette bir ayrıcalık yükseltme hatasıdır.
Sadece Android 15 kullanıcıları yamayı alacak
Öte yandan seçili bazı Google Pixel cihazları için Android tabanlı, açık kaynaklı, gizlilik ve güvenlik odaklı mobil işletim sistemi sağlayan GrapheneOS, CVE-2024-32896’nın CVE-2024-29748 ile aynı olduğunu söylüyor. Yani şimdi yama alan açık aslında Nisan ayında tespit edilen bir açıkla aynı. GrapheneOS konuyla ilgili şunları söylüyor: “Adli tıp şirketleri tarafından Wasted ve Sentry gibi uygulamalarla bir saldırı tespit edildiğinde cihazı silmeye çalışan kullanıcılara karşı istismar edildi. Duress PIN/şifre özelliğimizi oluştururken bu sorunu ele aldık ve Google’ın Android genelinde düzeltmesini sağlamak için bildirdik. Haziran güncellemesi (Android 14 QPR3) ile Pixels’te düzeltildi ve sonunda Android 15’e güncellendiklerinde diğer Android cihazlarda da düzeltilecek. Ama kullanıcılar Android 15’e güncelleme yapmazlarsa, muhtemelen düzeltmeyi alamayacaklar, çünkü geri destekleme bulunmuyor.”