Haberler 
Coin Bilgisi 
Hakkımızda 
안드roid akıllı telefonların ‘çekirdek çip’ seviyesinde kritik bir güvenlik açığı tespit edildi. Uzmanlara göre bir saldırgan, sadece 1 dakika içinde telefondaki kripto para cüzdanının PIN kodunu ve ‘seed phrase’ini çalabilir. Bu analiz sonrası ‘mobil cüzdan güvenliği’ konusundaki endişeler hızla büyüyor.
Güvenlik şirketi Ledger’ın araştırma ekibi, kısa süre önce MediaTek yongalarında bulunan donanım seviyesindeki bir zafiyeti açıkladı. Sorunun kaynağı, ‘Dimensity 7300’ isimli çip. Bu çipin, dünya genelindeki Android cihazların yaklaşık yüzde 25’inde kullanıldığı belirtiliyor. Söz konusu çipin kullanıldığı cihazlar arasında Solana ekosistemine yönelik ‘Solana Seeker’ akıllı telefonu da yer alıyor. Bu durum, ‘kripto para kullanıcıları’ arasındaki tedirginliği daha da artırmış durumda.
Araştırma ekibinin bulgularına göre saldırganın, bu açığı kullanabilmesi için cihaza fiziksel erişim sağlaması ve USB kablo ile bağlantı kurması yeterli. Özellikle dikkat çeken nokta, zafiyetin ‘işletim sistemi açılmadan önceki’ aşamada ortaya çıkması. Yani klasik mobil antivirüs çözümleri veya uygulama tabanlı güvenlik önlemleri, bu saldırı vektörünü engelleyemiyor.
Bu açığın kalbinde ‘Boot ROM’ bulunuyor. Boot ROM, çip üretimi sırasında kalıcı olarak yazılan ve işletim sisteminden önce çalışan kod bölümü. Üretim tamamlandıktan sonra bu bölüme yazılım güncellemesiyle müdahale edilemiyor, yani hata tespit edilse bile ‘patch’ ile düzeltilemiyor.
Ledger güvenlik ekibi, çipin açılış sürecinde çok hassas zamanlamayla yapılan voltaj oynatmaları ve elektromanyetik darbeler kullanarak güvenlik doğrulama adımlarını atlayan bir saldırı senaryosu gösterdi. Bu yöntem literatürde ‘glitch saldırısı’ olarak biliniyor.
Glitch saldırısı başarıya ulaştığında, ARM mimarisindeki en yüksek yetki seviyesi olan ‘EL3’ katmanına erişmek mümkün hale geliyor. Bu seviyeye çıkıldığında, telefonun güvenlik açısından ayrılmış alanları da dahil olmak üzere tüm sistem üzerinde tam kontrol sağlanabiliyor.
Araştırmacılar, deneylerinde yaklaşık 1 saniyelik aralıklarla tekrar tekrar deneme yaparak bu açığı tetiklemeyi başardı. Sonuçta, cihazın veri bölümünü çevrimdışı ortamda çözmeyi (decryption) başardılar. Bu aşamada kripto para cüzdanının özel anahtarları, PIN kodu ve seed phrase gibi tüm hassas bilgiler ‘eksiksiz’ biçimde ele geçirilebiliyor.
Sorunun kritik yönü, halihazırda üretilmiş ve piyasada olan telefonlardan bu açığın tamamen kaldırılamaması. Donanım tasarımı seviyesindeki bir hata söz konusu olduğu için, yazılımsal bir müdahaleyle kökten çözüm üretmek mümkün değil.
MediaTek’in bu sorunla ilgili bildirimi 2025’in Mayıs ayında aldığı, şirketin ise “Fiziksel erişim gerektiren saldırılar, tipik güvenlik modelinde birincil tehdit olarak değerlendirilmez” şeklinde bir yanıt verdiği aktarılıyor. Ancak ‘akıllı telefon üzerinde doğrudan kripto para saklayan’ kullanıcı sayısının arttığı günümüzde bu yaklaşımın yetersiz olduğu yönünde eleştiriler yoğunlaşıyor.
Veriler de bu tabloyu destekliyor. Blokzincir güvenliği alanındaki istatistiklere göre, 2024 yılı boyunca gerçekleşen kripto para hırsızlığı toplamı yaklaşık 3,41 milyar dolar (yaklaşık 5 trilyon 38 milyar won) seviyesine ulaştı. Özellikle bireysel cüzdanları doğrudan hedef alan saldırılar, toplam kayıpların yüzde 44’ünü oluşturdu. 2022’de bu oran yalnızca yüzde 7,3 düzeyindeydi. ‘Mobil ve kişisel cüzdan güvenliği’ eksikliğinin hızla büyüyen bir sorun olduğu net şekilde görülüyor.
Ledger’ın CTO’su, “Akıllı telefonlar baştan birer kasa veya kasaya eşdeğer donanımlar olarak tasarlanmış cihazlar değil” diyerek, ‘büyük tutarlı kripto varlıkları’ için mobil cüzdan yerine özel donanım cüzdanların tercih edilmesi gerektiğini vurguluyor.
Öte yandan Google ve güvenlik sektörü, Mart 2026 Android güvenlik güncellemesine bu zafiyet için yazılımsal bazı ‘risk azaltma’ önlemleri eklemeyi planlıyor. Ancak Boot ROM’daki donanım kusurunun ortadan kaldırılamayacak olması, ‘mobil tabanlı kripto saklama modeli’nin güvenilirliği üzerine tartışmaların uzun süre gündemde kalabileceğini gösteriyor.
Yorum 0