Google her zaman, Google Play Store’u yalnızca Android uygulama mağazası olarak değil, aynı zamanda güvenilir ve güvenli bir uygulama kaynağı olarak da nitelendirmiştir. Bununla birlikte bu güvenlik, yalnızca Google Play hizmetlerinin kendisi kadar güçlüdür ve bunun arkasındaki kod, güvenlik açıklarına açık hale geldiğinde, her şey kolayca çökebilir. Maalesef Google yakın zamanda, Google Play Core Library’de bir güvenlik açığını kapatmış olsa da, uygulama geliştiricileri üzerine düşeni yapmıyor, kendi uygulamalarını ve kullanıcılarını riske atıyor.
Adından da anlaşılacağı gibi Google Play Core Library, Android uygulamalarının geliştiricilerin ve kullanıcıların hayatlarını kolaylaştırmak için kullanabileceği Google mobil hizmetlerinin en temel bileşenlerinden biridir. Uygulamayı Google Play Store’dan güncellemenize gerek kalmadan ek diller, varlıklar veya özellikler indirme gibi işlevler sağlar. Play Store’daki hemen hemen tüm Android uygulamaları bu işlevleri kullanır ve Core Library’deki herhangi bir Android uygulamasının önemli bir parçası haline getirir.
Ne yazık ki, Core Library’deki ciddi bir kusur, kitaplığın gerçekten kötü amaçlı kod yürütmesini sağlamak için bu işlevsellikten yararlandı. Check Point Research, istismarın nasıl çalıştığı hakkında ayrıntılı bilgi veriyor. Bunun, ele alınmadığı takdirde oldukça korkutucu bir güvenlik açığı olduğunu belirtiyor. Neyse ki Google, güvenlik açığı ağustos ayında kamuya açıklanmadan önce, geçtiğimiz nisan ayında Play Core Library’yi zaten yamalamıştı.
Ancak güvenlik araştırmacıları, uygulama geliştiricilerinin Google Play Core Library’nin bu en yeni sürümüne hâlâ güncelleme yapmadıkları konusunda uyarıda bulunuyor. Google’ın tüm işi kendi tarafında yaptığı sunucu düzeltmelerinden farklı olarak, bu tür düzeltmelerin uygulama geliştiricileri tarafından, uygulamalarını kitaplığın sabit sürümünü kullanacak şekilde güncelleyerek, uygulanması gerekiyor. Son sayıma göre, Google Play Store’daki uygulamaların yüzde 13’ünün henüz son Core Library sürümünü desteklemediğini tahmin ediyorlar.
Bu temel olarak uygulamaların ve kullanıcıların, şu anda hem güvenlik uzmanları hem de bilgisayar korsanları tarafından bilinen bu güvenlik açığına karşı hâlâ savunmasız olduğu anlamına geliyor. Bazı geliştiriciler Check Point’in raporuna cevap verip uygulamalarını güncelledi; ancak Microsoft Edge ve Cyberlink PowerDirector da dahil olmak üzere bazı popüler uygulamalar bu güncellemeyi hâlâ gerçekleştirmedi.
Güncelleme: Haberin orijinalinde henüz güncelleme yapılmadığı belirtilen Moovit uygulamasından gelen bilgiye göre, bununla ilgili bir düzeltme çoktan yapıldı. Haber bu açıklamaya göre düzenlendi.