Büyük bir güvenlik sızıntısı, Samsung, LG ve öteki aygıtlarda tüm Android işletim sistemine erişim sağlayabilen berbat emelli yazılım uygulamalarının oluşturulmasına yol açtı. Bu durum hakkında açıklama yapan Google, şirketlerin alabileceği tedbirlerden bahsetti. Sorunun özü, birden çok Android OEM’in platform imzalama anahtarlarının ilgili şirketlerinin dışına sızdırılmış olmasıdır. Bu anahtar, aygıtınızda çalışan Android sürümünün üretici tarafından oluşturulmuş legal olduğundan emin olmak için kullanılır. Aynı anahtar, ferdî uygulamaları imzalamak için de kullanılabilir.
Kötü emelli yazılım uygulamaları, kullanıcı etkileşimi olmadan sisteme erişim sağlayabilir
Tasarım gereği Android, işletim sisteminin kendisini imzalamak için kullanılan birebir anahtarla imzalanmış tüm uygulamalara güvenir. Bu uygulama imzalama anahtarlarına sahip makus niyetli bir saldırgan, etkilenen bir aygıtta berbat gayeli yazılıma sistem seviyesinde müsaadeler vermek için Android’in paylaşılan kullanıcı kimliği sistemini kullanabilir. Temelde, etkilenen bir aygıttaki tüm bilgiler bir saldırgan tarafından kullanılabilir.
Google’ın hususla ilgili kısa açıklamasına nazaran etkilenen şirketler ortasında teknoloji devlerinden LG ve Samsung’da bulunmakta. Google bu durum karşısında şirketlerin ivedilikle Android platformu imzalama anahtarlarını artık sızdırılanları kullanmayacak formda değiştirmesini önerdi.
