NC State Üniversitesi'ndeki araştırmacılar, sekiz Android telefon (HTC's Legend, EVO 4G ve Wildfire S; Motorola'nın Droid ve Droid X; Google'dan Samsung Epic 4G; Google'dan Nexus One ve Nexus S) bir araştırma yaptı ve daha fazla rahatsız edici bilgi buldular.. Nexus telefonları ve OG Droid (Android hisse senedi çalıştıran telefonlar) küçük bir güvenlik sorunu yaşarken, başka bir uygulamanın pico yükleyici uygulamasını silmesine izin verecek bir pico uygulamasında bir kod hatası olmasına rağmen iyi. Özelleştirilmiş Android sürümlerine sahip tüm telefonların ciddi güvenlik sorunları vardı
Özellikle, bu sızdıran özelliklerden yararlanarak, bu etkilenen telefonlardaki güvenilmeyen bir uygulama, telefonlardaki kullanıcı verilerini silmeyi, SMS mesajları göndermeyi (örneğin, premium numaralara) göndermeyi, kullanıcı konuşmasını kaydetmeyi veya kullanıcı coğrafi konumlarını almayı başarabilir - hepsi izin istemeden.
Görünüşe göre, HTC, Moto ve Samsung gibi satıcılar tarafından oluşturulan sistem uygulamaları aynı dijital imzalama anahtarıyla imzalandığından, birbirleriyle iletişim kurabiliyor ve birbirlerinin verilerine erişebiliyorlar. Bu ciddi bir güvenlik açığı olsa da, Friendstream veya Social Hub gibi uygulamaların sosyal ağ uygulaması verilerini kolayca ayrıştırabilmesi ve bir araya getirebilmesi için tasarımla yapılması da mümkün ve bu araştırmacılar bu sistemi kullanmak için yeni bir yöntem buldular.
Android için çıkarımlar yeni olsa da, popüler bilgisayar platformlarındaki istismar saldırıları fikri değil. Android popülaritesi arttıkça, daha fazla insan işletim sistemine karşı istismarlar bulma (ve raporlama) üzerine odaklanacak. Araştırmacılar, sorunu Google’a ve tüm OEM’lere dürüstçe bildirmişlerdir; ancak, HTC ve Samsung’la (bu yazıdan itibaren) araştırmacıların "raporlarımızı / sorgulamamızı görmezden gelmiyorsak, cevap vermekte çok yavaş olduğunu" söylediklerini söylemişlerdir.
Endişelenmeli misin? Dün olduğundan daha fazla değil. Kötü amaçlı yazılım var, çünkü birçok insan cehennemden çok Android kullanıyor ve kullanıcılar yalnızca onaylanmış uygulamaları kurmalarıyla sınırlı değil. Bu tür raporlar sizi rahatsız ediyorsa - ve bu oldukça geçerli bir cevapsa - hala tanınmış geliştiriciler tarafından yalnızca güvenilir uygulamalar yükleme veya etkilenen üretici yazılımını telefonunuzda çalıştırmamaya yönelik başka seçenekler sunma seçeneğiniz vardır. Ve kimse bir daha söylediğimi duymak istemiyor olsa da (ama yine de gelmek üzereyim), Android çalıştığı sırada çalışan Nexus aygıtları bir kez daha bu ciddi sorunlardan bağışıklık kazanıyor, bu yüzden güvenliğine değer veriyorsan her zaman daha iyi bir seçimdir.
Kaynak: NC State University CSC (.pdf)
