Bitcoin geliştiricileri geçen Pazar bloglarından bir duyuru yayınlamış ve Android işletim sistemindeki bir güvenlik açığının mobil platformlardaki dijital cüzdanları hırsızlığa karşı savunmasız durumda bıraktığını açıklamıştı. Geliştiriciler bu açığın işletim sistemi içinde yer almasından dolayı Android uygulaması tarafından yaratılan her Bitcoin cüzdanının bu güvenlik açığından etkilenebileceğini ileri sürmüşlerdi.

Bitcoin geliştiricileri haklı çıktı ve Google da bu güvenlik açığını kabul etti. Ancak Ars Technica‘nın haberine göre geçen haftadan beri Bitcoin cüzdanlardan 5,720 $ değerinde hırsızlık yapıldı. Yetkililer bu açığın sadece Bitcoin’i değil 360 bin kadar diğer Android uygulamasını da etkileyebileceğini belirtiyor.

Google güvenlik araştırmacısı Alex Klyubin, bu güvenlik açığının Bitcoin geliştiricilerinin de iddia ettiği gibi rastgele numaralar yaratan bir Android bileşeninden (PRNG) kaynaklandığını açıkladı. Java Cryptography Architecture’ı (JCA) kullanan uygulamaların bu açığa karşı savunmasız olduğunu dile getiren Klyubin, HttpClient and java.net kullanan uygulamaların ise bundan etkilenmeyeceğini savunuyor.

Kylubin’in açıklaması sadece Bitcoin’in değil diğer milyonlarca Android uygulamasının tehdit altında olduğunu gösteriyor. Kylobin uygulama geliştiricilerin PRNG’lerde değişiklik yapıp uygulamalarını güncellemeleri gerektiğini söylerken, bu sistemi kullanan 360 bin uygulama olduğu göz önüne alınırsa Android kullanıcıları hala büyük risk altında.

Yaklaşık dört yıldır neredeyse tüm Android cihazlarını etkileyen bu güvenlik açığının cihazları virüslere karşı korunmasız hale getirdiği haberleri Android kullanıcılarını oldukça endişelendirmişti. Cihazlara sızan bu virüslerin uygulamalarını ele geçirmesi ve kişisel bilgilerine ulaşması olasılığı ile korkan Android kullanıcıları Google’dan konu ile ilgili açıklama beklerken, teknoloji devi bu güvenlik açığı için bir çözüm geliştirdiğini açıkladı.

Znet‘e konuşan Google yöneticisi Gina Scigliano, Google’ın bu sözü geçen güvenlik açığını çözmek için bir yama geliştirdiğini ve Samsung gibi iş ortaklarına bu yamayı ulaştırdıklarını açıkladı. Android kullanıcıları cihazlarını etkileyen ve virüsleri davet eden bu güvenlik açığından kurtulmak için şimdi yayınlanacak güncellemeyi bekleyecekler. Donanım sağlayıcılarından gelecek güncelleme ile kullanıcılar cihazlarını tehdit eden bu açıktan böylelikle kurtulmuş olacaklar.

Scigliano ayrıca Google Play ve diğer resmi uygulama mağazalarını taradıklarını ve hiçbir sızıntıyla karşılaşmadıklarını dile getirdi. Google Play dışındaki uygulama mağazalarını kullanan Android kullanıcılarının da onaylamış uygulamaları yükledikleri takdirde virüslerden etkilenmeyeceğini vurgulayan Scigliano, şu anda Google Play’deki tüm uygulamaların her ihtimale karşı gözden geçirildiğini sözlerine ekledi.

Google’ın bu açıklaması Android kullanıcılarının yüreğine su serper mi bilinmez ama Google’ın bu açığı bu kadar senedir farkedememiş olması hala akıllarda bir soru işareti olarak duruyor. Android kullanıcıları şimdi cihazlarını tehdit eden bu güvenlik açığından kurtulmak için donanım sağlayıcılarından gelecek olan güncellemeyi beklemek durumundalar.

Bluebox’ın araştırmaları virüsün uygulama şifrelerini kırmadan APK dosyasına erişip uygulamayı değiştirebildiğini ortaya çıkardı. Böylelikle hackerlar kullanıcıya değiştirilmiş yazılım paketi yollamayı başarırlarsa kötü niyetli kod kullanıcının Android cihazına yüklenmiş oluyor. Bu aşamadan sonra hackerkar uzaktan kullanıcı bilgilerine erişip cihazın fonksiyonlarını kontrol edebiliyorlar. Buna aramalar ve mesajlar da dahil. Üstelik bu saldırıdan telefon kullanıcısı, uygulama geliştirici ve Google’ın haberi olmuyor.

Virüsün nasıl yayıldığı ise hala kesin olarak bilinmiyor. Google‘ın uygulama mağazası Google Play’i yeni güvenlik önlemleri ile güncellediği düşünülürse virüsün oraya sızmış olma ihtimali pek yüksek değil. Akla gelen diğer bir ihtimal ise kullanıcıların uygulamalarını üçüncü parti uygulama mağazalarından, virüslü e-postalardan ya da kötü niyetli sitelerden güncellemeleri ile Android cihazlarına bu virüsleri davet ettikleri.

İşin ilginç tarafı Android’deki bu güvenlik açığının dört yıldır farkına varılmaması. Bluebox, tespit ettikleri bu durumu Şubat ayında Google’a bildirdiklerini söylüyor. Samsung Galaxy S4’te gerekli düzenlemeler yapılmışken Nexus cihazlar üzerinde durumu düzeltmek için yapılan çalışmalar ise hala devam ettiği söyleniyor. Android güncellemesi almayan eski model telefonlar içinse yapacak pek bir şey yok.

Google ise henüz konuyla ilgili resmi açıklama yapmadı. Ancak Android kullanıcılarını endişelendiren bu güvenlik açığı Google’ın epey başını ağrıtacağa benziyor. Tüm bunlar Android’in güvenilir bir mobil işletim sistemi olup olmadığı konusunda yeni soru işaretleri yaratırken Android kullanıcılarının tepkisi merak konusu.