Google, ekosistemi tedarik zinciri saldırılarından korumanın bir yolu olarak Android için genişletilmiş İkili Şeffaflık özelliğini duyurdu .

Google'ın ürün ve güvenlik ekipleri, "Bu yeni kamuya açık kayıt defteri, cihazınızdaki Google uygulamalarının tam olarak oluşturmayı ve dağıtmayı amaçladığımız uygulamalar olmasını sağlıyor" açıklamasında bulundu .

Bu girişim , Google'ın Ekim 2021'de Pixel cihazlarının yalnızca doğrulanmış işletim sistemi (OS) yazılımı çalıştırdığından emin olarak yazılım bütünlüğünü güçlendirmek amacıyla tanıttığı Pixel İkili Şeffaflığı temeli üzerine inşa edilmiştir . Bu özellik, resmi fabrika imajları hakkında meta verileri kaydeden herkese açık, kriptografik bir günlük tutarak çalışır .

Doğrulanabilir güvenlik altyapısı, yanlış düzenlenmiş veya kötü amaçlı sertifikaları tespit etmeye yardımcı olmak için tüm verilmiş SSL/TLS sertifikalarının herkese açık, yalnızca ekleme yapılabilen ve kriptografik olarak doğrulanabilir günlüklerde kaydedilmesini gerektiren açık bir çerçeve olan Sertifika Şeffaflığı'nı yansıtır.

Bu hamle, genellikle yazılım güncelleme kanallarını zehirleyerek kötü amaçlı kod bulaştıran ve dijital imzaları sağlam bırakan ikili tedarik zinciri saldırılarının oluşturduğu risklere karşı koymayı amaçlıyor. En son örnek, DAEMON Tools yazılımının Windows yükleyicilerinin, hafif bir arka kapı görevi gören ve daha sonra QUIC RAT olarak adlandırılan bir kötü amaçlı yazılımın yayılmasına aracılık eden bir unsur olarak ele geçirilmesidir .

Dahası, kurulum dosyaları DAEMON Tools'un resmi web sitesinden dağıtılıyor ve DAEMON Tools geliştiricilerine ait dijital sertifikalarla imzalanıyor.

Google, "Artık yalnızca ikili dosyanın imzasına güvenmek yetersiz kalıyor, çünkü bir imza, bu belirli ikili dosyanın yazarı tarafından kamuya sunulması amaçlanan dosya olduğunu garanti edemez," dedi. "Dijital imzalar bir menşe belgesidir, ancak ikili dosya şeffaflığı bir niyet belgesidir."

Şirket, Android'de İkili Şeffaflığı genişleterek, kullanıcının cihazındaki Google yazılımının tam olarak tasarlandığı ve dağıtıldığı gibi olduğunu garanti etmeyi amaçladığını belirtti. Bu amaçla, 1 Mayıs 2026'dan sonra piyasaya sürülen Google'ın üretim Android uygulamaları, orijinalliğini doğrulayan karşılık gelen bir kriptografik giriş içerecektir.

Bu girişim şu anda hem Google Play Hizmetleri hem de bağımsız Google uygulamaları dahil olmak üzere üretim aşamasındaki Google uygulamalarını ve ayrıca işletim sisteminin bir parçası olan ve normal sürüm döngüsünün dışında dinamik olarak güncellenebilen Mainline modüllerini içermektedir.

Google, "Bu, herkesin Android cihazlarındaki Google yazılımının Google tarafından yetkilendirilmiş bir üretim sürümü olduğunu ve bir saldırgan tarafından değiştirilmediğini doğrulayabilmesini sağlayan şeffaf bir 'Gerçeğin Kaynağı' sağlıyor," diye belirtti. "Yazılım kayıtlarda yer almıyorsa, Google onu üretim yazılımı olarak yayınlamamıştır. 'Tek seferlik' bir sürüm dağıtma girişimi tespit edilebilir olacaktır."

 Bu çabaların bir parçası olarak, teknoloji devi ayrıca  kullanıcıların ve araştırmacıların desteklenen yazılım türlerinin şeffaflık durumunu doğrulamak için kullanabileceği doğrulama araçlarını da kullanıma sunuyor .

Bu gelişme, son aylarda popüler yazılımların geliştiricilerini ve alt kademe kullanıcılarını hedef alan bir dizi tedarik zinciri saldırısının ortasında yaşanıyor. Kötü niyetli kişiler, giderek artan bir şekilde geliştiricilerin hesaplarını ele geçiriyor ve bu erişimi kötü amaçlı yazılım yaymak için kötüye kullanarak aynı anda birçok kullanıcının sistemine sızabiliyor.

Google, "Bu, kullanıcı gizliliği ve güvenliği için kritik bir temeldir çünkü yazılım güncellemelerinin temel güç dengesini değiştirir," dedi. "Bu şeffaflık düzeyi, yazılımımızın bütünlüğüne ek bir koruma katmanı görevi görerek yetkisiz ikili dosya sürümlerine karşı güçlü bir caydırıcı unsur oluşturur."

Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları;

• Yazılım paketleri, uygulama güncellemeleri ve binary dosyaları yalnızca doğrulanmış ve güvenilir kaynaklardan indirilmeli; binary transparency ve code signing doğrulamaları düzenli olarak kontrol edilmelidir.

• Yazılım geliştirme ve dağıtım süreçlerinde supply chain security politikaları uygulanmalı; CI/CD pipeline’ları, build ortamları ve geliştirici hesapları güçlü erişim kontrolleri ile korunmalıdır.

• Üretim ortamlarında çalışan uygulamaların hash, imza ve bütünlük kontrolleri düzenli olarak doğrulanmalı; yetkisiz veya beklenmeyen binary değişiklikleri SIEM/XDR çözümleri ile izlenmelidir.

• Geliştirici ve yönetici hesaplarında MFA zorunlu hale getirilmeli, privilege escalation girişimleri ile şüpheli güncelleme dağıtımları sürekli log analizleri ve davranışsal güvenlik çözümleri üzerinden takip edilmelidir.

Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.