O'Reilly, Open Handset Alliance
Medyada RAMpage olarak bilinen CVE-2018-9442, 2012'den beri piyasaya sürülen tüm Android Cihazlarda bir sorun olabilir. Güvenlik açığı, modern hafıza kartlarında bulunan bir donanım hatasından yararlanan Rowhammer probleminin bir çeşididir. Görünüşe göre yarı iletken tabanlı uçucu kayıt teknolojisinin çalışma şekliyle ilgisi var.
Araştırmacılar, birkaç yıl önce tekrarlanan okuma / yazma döngülerinin hafıza hücrelerini nasıl etkilediğine dair testler yaptılar. İstekler tekrar tekrar aynı hücre sırasına gönderildiğinde, işlemler bir elektrik alanı yarattı. Bu alan, RAM'in diğer alanlarında depolanan verileri teorik olarak değiştirebilir.
Bu sözde Rowhammer değişiklikleri, Android cihazların yanı sıra PC'lerde de sorunlara neden olabilir. Bunların yaratıcı kullanımı, keyfi kodun yürütülmesine izin verebilir.
Özellikle, RAMpage güvenlik açığı varsayımsal olarak ağ paketleri ve JavaScript kodu kullanan Rowhammer tipi saldırılara izin verebilir. Bazı mobil cihazlar bu saldırıları düzgün bir şekilde işleyemez ve kesinlikle masaüstü bilgisayarlarda GPU kartlarını kullananlar kadar şiddetli değildir. Bununla birlikte, 2012'den beri gönderilen RAM modülleri ile ilgili sorunlar, araştırmacıların hızla bir azaltma üzerinde çalışmasına yetecek kadar endişe vericidir.
Cupertino’nun mühendisleri o zamanlar bu araştırmanın büyük olasılıkla farkında olmasalar da, Apple cihazlarının tasarlanma şeklindeki temel farklılıklar, iOS çalıştıran telefonların Android cihazlar kadar savunmasız olabileceği anlamına geliyor. Yeni bir uygulama, cihazınızın bu güvenlik açıklarına maruz kalıp kalmadığını test edebileceğini iddia ediyor ve önümüzdeki birkaç hafta içinde popüler bir indirme haline gelebilir.
Bazı Unix güvenlik uzmanları, bu uygulamaların mevcut durumuyla ilgili endişelerini dile getirdi. Şu anki iyi tasarlanmış bir araç gibi görünse de, gelecekte birinin olmayabileceği riski vardır.
Saldırganlar, gelecekteki bir uygulamanın temiz bir açık kaynak sürümünü, açıklardan yararlanan ikili dosyalar ile birlikte yayınlayabilirler. Bu, güvenliğe önem veren kişilerin bir güvenlik açığı yüklemesine neden olabilir.
Mevcut araç, resmi havuzlardan edinilebilir ve geliştiriciler, kullanıcıları yalnızca bu tür araçları bu kanallardan kullanılabilir hale geldiklerinde yüklemeye çağırmaktadır. Onlardan çıkan herhangi bir şeyin bu tür sosyal mühendisliğin kurbanı olması pek olası değildir.
Etiketler Android güvenliği
