Google kullanıcıların SMS mesajlarını, çağrı geçmişini ve benzeri hassas verilerini tehdit eden ve beş yıldır var olan yüksek seviye zafiyeti yamaladığını açıkladı.
CVE-2016-2060 kayıtlı zafiyet 4.3 ve öncesi Android cihazları etkiliyor. 2011’de Qualcomm’un ağ yönetim sistemi servisi için çıkarttığı API’lar (Uygulama Programlama Arabirimi) ve sonrasında da netd servisinden beri bu durum geçerli.
Qualcomm netd servisini kablosuz internet paylaşımı gibi daha fazla ağ yetenekleri sağlamak için değiştirdi. Ancak bu değişiklik Android işletim sisteminde kritik bir hatanın oluşmasına sebebiyet verdi. Düşük yetkilere sahip uygulamaların normalde erişememesi gereken kişisel verilere erişim sağlayabilmesine olanak tanıdı.
Son beş yılda üretilen yüzlerce modelde Qualcomm yongaları kullanılması ve 4.3 ve öncesi cihazların güvenlik yamaları alamama durumlarını düşününce zarar verme potansiyeli de artıyor.
Android 4.4 ve 5.0 sürümlerinde de bu durum geçerli gibi gözükse de yeni cihazlardaki SEAndroid (Güvenliği Geliştirilmiş Linux) durumu daha az vahim hale getiriyor. Yine de bazı bilgilere ulaşmak mümkün olabiliyor.
Mayıs başında zafiyet ile ilgili yama yayınlayan Google Nexus cihazlarının bu durumdan etkilenmediğini iddia etti.