Galaxy S9'dan S25'e kadar uzanan geniş bir yelpazede etkili olan kritik güvenlik açığı, nihayet kapatıldı. Peki cihazınız güvende mi?

Akıllı telefonunuzu ne kadar güvende hissediyorsunuz? Samsung, yıllardır kullanıcılarına "KNOX ile güvendesiniz" mesajını veriyor. Ancak güvenlik araştırmacıları, tam da bu güvenlik kalkanının içinde, yaklaşık 8 yıl boyunca kimsenin fark etmediği kritik bir zayıf nokta keşfetti. Üstelik bu açık; yüksek yetkili uygulamalarda değil, telefonunuza kurduğunuz sıradan, izinsiz bir uygulamadan bile tetiklenebiliyordu.

CVE-2026-20971 Nedir? Tehdidin Anatomisi

LucidBit Labs araştırmacıları tarafından keşfedilen güvenlik açığı, CVE-2026-20971 kodu ile takip ediliyor ve CVSS güvenlik ölçeğinde 7.8 puan alıyor. Bu puan, açığın "yüksek önem dereceli" kategorisinde değerlendirilmesi anlamına geliyor.

Açığın kalbi, Samsung'un KNOX platformunun temel taşlarından biri olan PROCA (Süreç Kimlik Doğrulayıcı) bileşeninde atıyor. PROCA, yetkisiz süreçlerin çalışmasını engellemek amacıyla Android çekirdeğine gömülmüş özel bir alt sistemdir. PROCA ise doğrulama işlemlerini gerçekleştirmek için FIVE (Dosya Bütünlüğü Doğrulama Motoru) adlı çerçeveye dayanır. Bu iki bileşenin yönettiği task_integrity nesnelerinin yaşam döngüsünde kritik bir hata mevcuttu.

Peki bu hata tam olarak nasıl işliyor?

"Use-After-Free": Silinen Kapıyı Açık Bırakan Hata

Sistem içinde her çalışan süreç, güvenlik durumunu kaydeden bir task_integrity nesnesine bağlıdır. Bir süreç; örneğin alt süreç oluşturma (fork) veya yeni program yükleme (execve) gibi bir durum değişikliğine uğradığında, eski bütünlük nesnesi silinir ve yerine yenisi oluşturulur. Bu geçiş işlemi anlık gerçekleşmeli, ancak Android'in preemptive (öncelikli kesintili) çekirdeği bu süreçte küçük ama kritik bir zaman penceresi bırakıyor.

İşte tam bu noktada saldırı kapısı aralanıyor: Bir iş parçacığı, bellek işaretçisini okuduktan sonra askıya alınabiliyor; ardından tekrar çalışmaya başladığında, okuduğu bellek alanı çoktan serbest bırakılmış oluyor. Bu, klasik bir "use-after-free" (UAF) açığının tarif kitabı örneği.

Kimler Risk Altındaydı?

Açık; Galaxy S9'dan Galaxy S25'e kadar tüm Galaxy S serisi ile A serisi modellerini, hem Exynos hem de Qualcomm Snapdragon işlemcili cihazları kapsıyor. Etkilenen Android sürümleri ise 13, 14, 15 ve 16 olarak listeleniyor.

LucidBit Labs'in kendi açıklamasına göre araştırmacılar, test ettikleri tüm Samsung cihazlarında hem Exynos hem de Qualcomm tabanlı modellerde açığı başarıyla yeniden üretebildi. Bu gerçek bir konsept kanıtı (proof-of-concept), teorik bir risk değil.

En Tehlikeli Boyut: Sıradan Bir Uygulama, Tam Denetim

LucidBit Labs, bu açığın güvenilmeyen, izinsiz bir uygulamadan bile tetiklenebildiğini ve çekirdek belleğinde bozulmaya yol açabileceğini, bunun da saldırgana cihaz üzerinde tam denetim kurma yolunu açtığını belirtiyor.

Yani güvenlik katmanını aşmak için özel bir izne, sistem yetkisine ya da gelişmiş bir kötü amaçlı yazılıma gerek yok. Telefonunuzdaki masum görünümlü herhangi bir uygulama potansiyel bir tehdit taşıyabiliyordu.

Samsung'un Kendi Savunması da İşe Yaramadı mı?

Samsung'un Android çekirdeğine entegre ettiği KCFI (Çekirdek Kontrol Akışı Bütünlüğü) mekanizması, keyfi fonksiyon çağrılarını engelleyerek açığın istismarını ciddi ölçüde güçleştirdi. Ancak araştırmacılar bu engeli de aşmanın bir yolunu buldu: Çalıştırılamayan, yani ELF formatında olmayan dosyaları yükleyerek serbest bırakılan belleğin kontrollü biçimde yeniden tahsis edilmesini sağladılar.

Bu teknik detay, açığın teorik değil, pratikte uygulanabilir olduğunu kanıtlıyor.

Kurumsal Kullanıcılar İçin Daha Büyük Tehlike

Uzmanlar, "yerel erişim" kavramının her zaman meşru cihaz sahibi anlamına gelmediğini vurguluyor. Akıllı telefonlar artık kişisel veriler, kurumsal bilgiler, parolalar ve kimlik bilgilerinin depolandığı sürekli bağlı cihazlar. Cihaz üzerinde kısa süreli fiziksel kontrolün kaybedilmesi ya da kötü amaçlı bir uygulamanın yüklenmesi bile bu tür açıkların sömürülmesi için zemin hazırlayabilir.

Kurumsal ortamlarda başarılı bir mobil cihaz ihlali, iç ağlara ve kritik altyapıya açılan ilk kapı olabilir.

Samsung Yamaladı: Cihazınızı Hemen Güncelleyin

İyi haber şu: Samsung, açığı Ocak 2026 Android Güvenlik Güncellemesi'nde kapattı.

Ocak 2026 veya daha güncel bir güvenlik yaması yüklenmiş cihazlar bu tehdide karşı artık korumalı. Güncellemenizi kontrol etmek için şu adımları izleyin:

Ayarlar → Yazılım Güncelleme → Güncelleme İndir ve Kur

Güvenlik yaması seviyeniz Ocak 2026 veya sonrasını gösteriyorsa, cihazınız bu açıktan etkilenmiyor.

Sonuç: Koruyucu Sistemler de Saldırı Yüzeyi Olabilir

CVE-2026-20971 vakası, modern siber güvenliğin önemli bir gerçeğini bir kez daha gözler önüne seriyor: Koruma mekanizmaları ne kadar gelişmiş olursa olsun, karmaşıklıkları arttıkça kendileri de bir saldırı yüzeyine dönüşebilir. Kullanıcılar için temel çıkarım açık: En güncel güvenlik güncellemelerini yüklemek artık isteğe bağlı bir işlem değil, korunmanın zorunlu bir şartı.

Bu araştırma aynı zamanda, FIVE'ın KNOX güvenlik paketine eklendiği günden bu yana var olan bir hatanın sekiz yıl boyunca fark edilemediğini gösteriyor. Bu, ne kadar gelişmiş olursa olsun hiçbir güvenlik sisteminin sürekli denetim olmaksızın tam anlamıyla güvenli kabul edilemeyeceğinin çarpıcı bir kanıtı.

Kaynak: Teknolojioku