Android WebView Güvenlik Açığı Kripto Cüzdanları Seed İfadesi Hırsızlığı Riskiyle Karşı Karşıya Bırakıyor

Android'in WebView bileşenindeki kritik bir sıfırıncı gün (zero-day) güvenlik açığı, milyonlarca kripto para kullanıcısını cüzdan kurtarma ifadelerinin potansiyel hırsızlığına maruz bıraktı. Ledger'ın güvenlik ekibi tarafından "Hafıza-Aynalama" olarak adlandırılan bu açık, kötü niyetli arka plan uygulamalarının 24 kelimelik seed ifadelerini üç saniye gibi kısa bir sürede—hiçbir görünür ihlal belirtisi olmaksızın—çıkarmasına olanak tanıyor.

Saldırı, WebView işlemleri sırasında Android'in bellek yönetimini istismar ederek, uygulama izolasyon güvenlik önlemlerini atlıyor. Kullanıcılar yeni kurtarma ifadelerini girdiğinde, saldırganlar cüzdan uygulamasının bellek önbelleğindeki verileri sessizce aynalayabiliyor. Ledger, bu güvenlik açığının savunmasız WebView uygulamalarını çalıştıran geniş bir Android cihaz yelpazesini etkilediği konusunda uyarıyor.

Güvenlik uzmanları, Android cihazlarda seed ifadeleri girerken derhal dikkatli olunması çağrısında bulunuyor. Bu açıklama, kripto cüzdan sağlayıcılarının risk azaltma önlemlerini uygulamak için acele ettiği bir döneme denk gelirken, mobil kripto para yönetimindeki kalıcı güvenlik zorluklarını gözler önüne seriyor.