Akıllı telefonlar kişisel bilgilerimizin büyük bir hazinesi olsa da, güvenlikleri zamanla büyük ölçüde gelişti. Ancak Cellebrite gibi firmalar, kolluk kuvvetlerine bazı cihazlardaki güvenliği aşabilen araçlar sunuyor. Şirket bu konuda detayları gizli tutsa da, isimsiz bir sızıntı kaynağı, Cellebrite'ın bir sunumuna katılarak Google'ın hangi Pixel modellerinin Cellebrite tarafından telefon hack'leme saldırılarına karşı savunmasız olduğunu gösteren bir liste elde etti.
Kullanıcı adı 'rogueFed' olarak bilinen bu kişi, son Microsoft Teams toplantısından alınan ekran görüntülerini GrapheneOS forumlarında paylaştı. GrapheneOS, seçili telefonlara, Pixel'lar dahil olmak üzere kurulabilen Android tabanlı bir işletim sistemidir. Bu işletim sistemi, gelişmiş güvenlik özellikleri ile birlikte gelir ve Google servislerini içermez. Güvenliğe önem veren kullanıcılar arasında popüler olması nedeniyle, Cellebrite'ın Pixel telefon destek matrisine GrapheneOS'u dahil etme gereği duyduğu anlaşılıyor.
Sızan ekran görüntüsünde Pixel 6, Pixel 7, Pixel 8 ve Pixel 9 ailelerine ait veriler yer alıyor. Birkaç ay önce piyasaya sürülen Pixel 10 serisi ise listede bulunmuyor. Telefon desteği üç farklı koşul altında sınıflandırılmış: ilk kilidin açılmasından önce (BFU), ilk kilidin açılmasından sonra (AFU) ve kilidi açık durum. Telefonun yeniden başlatılmasından bu yana hiç açılmadığı BFU durumu, tüm verilerin şifreli olduğu ve geleneksel olarak en güvenli halidir. AFU durumunda ise veri çıkarma işlemi daha kolaydır. Kiliti açık bir telefon ise verilerinize erişim için tamamen açık bir hedef haline gelir.
Cellebrite'a göre, GrapheneOS, Google'ın kutudan çıktığı haliyle sunduğu işletim sisteminden daha güvenli. Şirket, kolluk kuvvetlerine yaptığı sunumlarda, teknolojisinin kilidi açık, AFU ve BFU durumlarındaki Pixel 6, 7, 8 ve 9 telefonlarından veri çıkarabildiğini belirtiyor. Ancak, cihaz üzerinde tam kontrol sağlamak için şifreleri kaba kuvvetle çözemediği de ekleniyor. Sızıntıyı yapan kişi, kolluk kuvvetlerinin hala Pixel cihazlarından eSIM kopyalayamadığını da belirtiyor. Dikkat çekici bir şekilde, Pixel 10 serisi fiziksel SIM kartlardan uzaklaşıyor.
GrapheneOS ile çalışan aynı telefonlar için ise polislerin işi çok daha zor olacak. Cellebrite tablosuna göre, GrapheneOS yüklü Pixel'lara, 2022'nin sonlarından önceki yazılımları çalıştırdıklarında erişilebiliyor; Pixel 8 ve Pixel 9 bu tarihten sonra piyasaya sürüldü. Güncellenmiş sürümlerde, hem BFU hem de AFU durumlarındaki telefonlar Cellebrite'dan korunuyor. Hatta 2024'ün sonlarından itibaren, tamamen kilidi açık bir GrapheneOS cihazı bile veri kopyalamaya karşı bağışık durumda. Kiliti açık bir telefon başka yollarla incelenebilse de, bu durumda veri çıkarma işlemi kullanıcının erişebildiği verilerle sınırlı kalıyor.
Orijinal sızıntıyı yapan kişi, şimdiye kadar iki görüşmeye fark edilmeden katıldığını iddia ediyor. Ancak, 'rogueFed' toplantı organizatörünün adını da açıkladı. Muhtemelen Cellebrite, artık toplantı katılımcılarını daha dikkatli tarayacaktır.
Küçük bir kar amacı gütmeyen kuruluş tarafından oluşturulan özel bir ROM'un, resmi Pixel işletim sisteminden daha dirençli olmasının nedenlerini öğrenmek üzere Google ile iletişime geçtik. Google'dan bir yanıt alırsak bu haberi güncelleyeceğiz.
