Haberler 
Coin Bilgisi 
Hakkımızda 
13’ünde (yerel saatle), Microsoft’a göre Android’de yaygın şekilde kullanılan yazılım geliştirme kiti EngageLab SDK’de ortaya çıkan bir *güvenlik açığı*, kripto cüzdan uygulamalarında ciddi risk yarattı. Açık için *yama* yayınlanmış olsa da birçok kullanıcının uygulamalarını güncellemediği, bu nedenle cüzdan adresleri, *seed* ifadeleri ve *özel anahtarların* sızdırılabileceği uyarısı yapılıyor.
Microsoft’un ‘Defender Security Research Team’ ekibi, zafiyeti geçen hafta kamuoyuna açıklarken, ilk tespit tarihinin 2025 Nisan olduğunu bildirdi. Sorunun odağında ‘intent redirection’ tekniği bulunuyor. Buna göre kötü amaçlı bir uygulama, savunmasız uygulamaya özel hazırlanmış bir mesaj gönderdiğinde, hedef uygulama kendi veri erişim yetkilerinden bazılarını saldırgana devredebiliyor. Böylece Android’in normalde uygulamaları birbirinden yalıtan *sandbox* koruması fiilen baypas edilmiş oluyor.
Microsoft, 2025 Mayıs’ta bulguları Google ve Android güvenlik ekibiyle paylaştığını, ardından EngageLab’in düzeltilmiş 5.2.1 sürümünü yayımladığını belirtiyor. Ancak yorum özellikle dış kaynaklardan indirilen APK dosyalarıyla kurulan uygulamaların, Google Play doğrulamasından geçmediği için daha yüksek risk taşıdığına dikkat çekiyor. ‘Yorum’ Bu tür kurulumlarda kullanıcılar genellikle güvenlik denetimi yerine kullanım kolaylığını tercih ediyor. ‘yorum’
Microsoft’a göre söz konusu güvenlik açığı Android ekosistemindeki 50 milyonun üzerinde uygulamayı etkiledi ve bunların yaklaşık 30 milyonu *kripto cüzdan* kategorisinde. Aynı cihazda savunmasız uygulamalar yüklü olduğu sürece, kullanıcının herhangi bir işlem yapmasına gerek kalmadan saldırının mümkün olabilmesi, sorunun ciddiyetini artırıyor.
Güvenlik araştırmacıları, 2025 yılının ortasından sonra dahi uygulamalarını güncellemeyen kullanıcılar için yalnızca sıradan bir uygulama güncellemesinin yeterli olmayabileceği görüşünde. Aktif olarak kullanılan ve zamanında yama almamış cüzdanların potansiyel olarak ‘ihlal edilmiş’ kabul edilmesi gerektiğini vurgulayan uzmanlar, yeni bir *seed* ifadesiyle tamamen yeni bir cüzdan oluşturulmasını ve varlıkların bu yeni adrese taşınmasını öneriyor.
Bu uyarı, kısa süre önce gündeme gelen Android çip seviyesindeki açıklar ve ABD Hazine Bakanlığı’nın kripto şirketleriyle *siber tehdit* istihbaratı paylaşımını artırma planıyla aynı döneme denk geliyor. Tüm bu gelişmeler, *mobil güvenliğin* kripto varlıkları koruma denkleminde belirleyici unsur haline geldiğini gösteriyor.
Yorum 0