Altcoin Projesi CertiK Raporunu Reddetti: Güvenlik Açığı Yok!
AltcoinSolana, Saga telefonunun kritik bir güvenlik açığı içerdiğine dair CertiK raporunu reddetti.
Solana Labs, CertiK tarafından kısa süre önce yayınlanan bir videoyu reddederek, blockchain güvenlik firmasının Solana'nın Saga telefonundaki potansiyel bir güvenlik açığı hakkında bazı yanlış iddialarda bulunduğunu belirtti.
Saga, Solana'nın kripto özellikli Android telefonudur ve Nisan ayında piyasaya sürülmüştür. Telefon, Web3'ü akıllı telefonlarla eşleştirmek için tasarlanmıştır.
CertiK Videosu
CertiK, 15 Kasım'da X (eski adıyla Twitter) üzerinden yaptığı bir paylaşımda, Saga telefonunun "bootloader unlock" açığı olarak bilinen kritik bir güvenlik açığı içerdiğini iddia etti. Söz konusu güvenlik açığı, kötü niyetli kişilerin telefona arka kapıdan girmesine ve cihazın başlatılmasından sorumlu olan ilk yazılımı tehlikeye atmasına neden olabilir. CertiK, ayrıca önyükleyici açığının, telefona fiziksel erişimi olan herhangi bir saldırganın kök arka kapı içeren özel bir ürün yazılımı yüklemesine izin vereceğini öne sürdü.
CertiK, şunları belirtti:
Bunun, kripto özel anahtarları da dâhil olmak üzere telefonda depolanan en hassas verileri tehlikeye atabileceğini gösteriyoruz. Önyükleme yükleyicisinin kilidi açılıyor ve yazılım bütünlüğü garanti edilemiyor. Cihazda depolanan tüm veriler saldırganlar tarafından kullanılabilir. Cihazda herhangi bir hassas veri saklamayın.
CertiK'ten gelen mesaj, telefonun hack'lenebileceğini gösteriyor. Bununla birlikte güvenlik açığının, Saga telefona özgü olup olmadığı ya da diğer Android cihazları etkileyip etkilemeyeceği henüz belli değil.
Solana, İddiaları Kesin Bir Dille Reddetti
Solana, CertiK'in Saga telefonundaki herhangi bir potansiyel güvenlik açığı konusundaki endişelerini reddetti. Solana Labs mobil yazılım baş mühendisi Steven Laver, CertiK videosunun Saga kullanıcıları için bilinen herhangi bir güvenlik açığı ya da güvenlik tehdidi ortaya koymadığını belirtti. Bunun yerine video, sadece kullanıcının bootloader kilidini açmasını gösteriyor ki Laver bunun herhangi bir Android cihazda yapılabileceğini belirtti.
CertiK videosu Saga sahiplerine yönelik bilinen herhangi bir güvenlik açığını ya da güvenlik tehdidini ortaya koymamaktadır. Videoda kullanıcının bootloader kilidini açması gösteriliyor ki bu da pek çok Android cihazda yapılabilecek bir şey.
Android'in dâhili Açık Kaynak Projesi belgeleri de önyükleyici kilidini açmanın birçok Android cihazda gerçekleştirilebilecek bir eylem olduğunu gösteriyor. Laver, ayrıca şunları ekledi:
Bootloader kilidini açmak Saga'nın gelişmiş bir özelliğidir ve varsayılan olarak devre dışıdır. Kullanıcıların telefonlarını nasıl kullanacakları konusunda seçim yapmalarına izin vermeye inanıyoruz. Fakat önyükleyicinin kilidini açmak bir güvenlik açığı değildir. Bir kullanıcının cihazında bu tür değişikliklerin yapılmasına açıkça izin vermesi gerekir ve bu değişiklikler yalnızca telefonun yetkili bir kullanıcısı tarafından yapılabilir.
Bununla birlikte kullanıcı ya da saldırgan önyükleyicinin kilidini açmaya devam ederse yalnızca birden fazla uyarıya maruz kalmakla kalmaz, aynı zamanda özel anahtarlarıyla birlikte cihazları da silinir. Laver, bu işlemin kullanıcının farkındalığı veya aktif katılımı olmadan yapılamayacağını da sözlerine ekledi.
Video, daha sonra saldırganın telefona bağlı cüzdandan BTC'yi nasıl boşaltabileceğini gösterdi. Fakat videoda Seed Vault gösterilmedi. Seed Vault, desteklenen dijital varlıkları ve tohumları korur.
2022 yılında duyurulan Seed Vault, bir cihazda bulunan en yüksek ayrıcalıklı güvenlik ortamına erişebiliyor. Bu, işlemcinin güvenli çalışma modlarını ve Android'de yerleşik kullanıcı ara yüzü bileşenleri aracılığıyla güvenli bir işlem imzalama deneyimi sağlayan özel Güvenli Öğeleri içeriyor.
Kaynak: Crypto Daily
