Birkaç gün önce, Meta'nın sorunu özel olarak bildirmesinden sonraki 90 gün içinde düzeltememesinin ardından, Google'ın Project Zero güvenlik ekibinin WhatsApp'ta bir güvenlik açığı tespit ettiğini duyurmuştuk. Bu, mağdurun herhangi bir etkileşimi olmadan istismara yol açabileceği düşünüldüğünde oldukça önemli bir sorundu. Şimdi ise Meta nihayet bu hatayı tamamen düzeltti.
WhatsApp'taki Kritik Güvenlik Açığı Düzeltildi
Temelde, WhatsApp'taki bir güvenlik açığı, saldırganların kurbanlarını belirli bir şekilde gruplara eklemelerine ve ardından otomatik olarak MediaStore veritabanlarına indirilecek medya dosyaları göndermelerine olanak tanıyordu.
Bu kötü amaçlı medya eki yeterince gelişmişse, bu veritabanında zararlı işlemleri tetikleyebilir ve hatta veritabanından kaçabilir. Hedeflerin telefon numaralarını elde etmenin günümüz çağında oldukça kolay bir iş olduğu ve saldırının hedeften hiçbir etkileşim olmadan başarılı olabileceği düşünüldüğünde, bu saldırı yöntemi biraz korkutucu.
 |
Bu sorun, Google tarafından Eylül 2025'te Meta'ya 90 günlük bir süre tanınarak (Google Project Zero'nun politikasında standart olduğu üzere) özel olarak bildirildikten sonra, şirket Kasım ayında yalnızca kısmi bir düzeltme yayınladı; bu da Project Zero'nun hatayı kamuoyuna açıklamasına ve bizim de bunu haberleştirmemize yol açtı.
Google Project Zero ve Meta ekiplerine ayrıntılı bilgi almak için ulaşmamıza rağmen, ilki daha fazla yorum yapmayı reddederken, ikincisi hiç yanıt vermedi.
Neyse ki, baskı işe yaramış olabilir, çünkü bu sorunu ilk bildiren güvenlik araştırmacısı, Meta'nın "kapsamlı bir düzeltmeyi başarıyla uyguladığını ve bu sorunun varyantlarını da bulup düzelttiğini" belirten bir notla güncelleme yaptıktan sonra hata artık giderilmiş olarak işaretlendi.
Yama ve hatanın benzer "varyantlarının" ayrıntıları şu anda bilinmiyor, ancak sorunun ciddiyeti ve istismar potansiyeli göz önüne alındığında, Meta'nın nihayet bu sorunu çözmesi sevindirici.
