Bir Kyocera Android baskı uygulaması, uygunsuz niyet kullanımına karşı savunmasızdır, diğer kötü amaçlı uygulamaların kusurları kötüye kullanmasına ve cihazlara kötü amaçlı yazılım yüklemesine izin verir.
JVN (Japon güvenlik açığı notları) tarafından yapılan bir güvenlik bildirimine göre, güvenlik konularında farkındalık yaratmaya adanmış devlet destekli bir portal, sorun, kusur CVE-2023-25954 olarak izlenir ve aşağıdaki uygulamaları etkiler:
Uygulamalar farklı yayıncıları listelse de, aynı koda dayanmaktadır; Böylece, kırılganlık üçünü de etkiler.
Kyocera, dün bu konuda bir güvenlik bültenini yayınladı ve yazdırma uygulamasının kullanıcılarını şu anda Google Play aracılığıyla mevcut olan 3.2.0.230227 sürümüne yükseltmeye çağırdı.
"Kyocera Mobile Print'in uygulama sınıfı, kötü amaçlı üçüncü taraf mobil uygulamalardan veri iletimine izin verir, bu da kötü amaçlı dosyaların indirilmesine neden olabilir."
"Ve, Kyocera mobil baskı web tarayıcısı işlevselliği kullanılarak kötü amaçlı sitelere erişilebilir ve kötü amaçlı dosyalar indirilebilir ve yürütülebilir, bu da mobil cihazlarda dahili bilgilerin edinilmesine yol açabilir."
Böyle bir saldırının gerçekleşmesi için, kullanıcının cihazlarına yük indirmesini tetikleyecek ikinci bir kötü amaçlı uygulama da yüklemesi gerekir.
Kusurun ciddiyetini azaltan bu gereksinime rağmen, riskli kod eklemek, kurulum sırasında riskli izinlerin onaylanmasını talep etmek zorunda kalmayacağından, sorundan yararlanan kötü amaçlı bir uygulamayı dağıtmak kolay olacaktır.
Bunun yerine, bu savunmasız uygulamaların varlığını kontrol etmek ve kötü amaçlı yazılım yüklemek için bunları kötüye kullanmak zorunda kalacaktır.
Yaklaşan Android 14 versiyonu, niyetleri daha güvenli bir şekilde ele almaya hazırlanıyor, ilişkili riskleri hafifletiyor ve "kaputun altındaki" veri değişimlerinin gerçek doğasını gizlemeyi zorlaştırıyor.
Android 14'ten başlayarak, uygulamalar arasında niyet alışverişi kısıtlanacak, gönderen tarafından belirli alıcıların tanımlanmasını, bir uygulamanın diğer uygulamalardan hangi bilgilerin alması gerektiğinin beyan edilmesi ve alıcıların sistem yayınlarıyla sınırlı olup olmayacağını gerektirecektir. .
Bu güvenlik geliştirme, aynı cihazda çalışan diğer uygulamalar tarafından gönderilen kötü niyetli niyetlerden gelen ayrıcalıklı uygulamaları yazdırır.
Siber suçlular, google Play'e Android kötü amaçlı yazılım eklemek için 5 bin dolar şarj
3CX Saldırı'nda kullanılmış 'Sabit' Fix ile 10 yaşındaki Windows Hatası
Fakealls Android kötü amaçlı yazılım, telefonlarda gizlenmenin yeni yollarıyla döner
Xenomorph Android kötü amaçlı yazılım artık 400 bankadan veri çalıyor
Bilgisayar korsanları, Windows, Android kötü amaçlı yazılımları itmek için sahte chatgpt uygulamalarını kullanır
Kaynak: Bleeping Computer