Qualcomm, Hackerların Saldırdığı Üç Sıfır Gün Açığını Düzeltmek İçin Yamanıyor
Çip üretiminde dünya çapında bir dev olan Qualcomm, Pazartesi günü bir dizi güvenlik açığını kapatan yamalar yayınladı. Bu yamalar, şirketin hacking kampanyalarında kullanılabileceğini belirttiği üç sıfır gün açığını da içeriyor.
Qualcomm, Google’ın siber saldırıları araştıran Tehdit Analiz Grubu‘na (TAG) atıfta bulunarak, bu üç açığın “sınırlı ve hedefli istismar altında olabileceğini” bildirdi.
Şirketin yayımladığı bültene göre, Google’ın Android güvenlik ekibi bu üç sıfır gün açığını (CVE-2025-21479, CVE-2025-21480 ve CVE-2025-27038) Şubat ayında Qualcomm’a iletti. Sıfır gün açıkları, keşfedildiği anda yazılım veya donanım üreticisi tarafından bilinmeyen güvenlik zafiyetleridir ve bu nedenle siber suçlular ile devlet destekli hackerlar için son derece değerlidir.
Android’in açık kaynak ve dağıtık yapısı nedeniyle, cihaz üreticilerinin Qualcomm tarafından sağlanan yamaları uygulaması gerekiyor. Bu durum, bazı cihazların mevcut yamanın olmasına rağmen, birkaç hafta boyunca hala savunmasız kalabileceği anlamına geliyor.
Qualcomm, bülteninde yamaların “Mayıs ayında [cihaz üreticilerine] sunulduğunu ve etkilenen cihazlarda güncellemeyi mümkün olan en kısa sürede uygulamaları yönünde güçlü bir tavsiye verildiğini” açıkladı.
Google sözcüsü Ed Fernandez, TechCrunch’a yaptığı açıklamada, şirketin Pixel cihazlarının bu Qualcomm güvenlik açıklarından etkilenmediğini belirtti.
Google’ın TAG’ı için bir sözcü olan Kimberly Samra, bu güvenlik açıkları hakkında daha fazla bilgi vermedi ve TAG’ın bunları bulma koşullarını açıklamadı.
Qualcomm, bu yamaları kabul ettiğini vurguladı. Şirketin sözcüsü Dave Schefcik, “Son kullanıcıları, cihaz üreticilerinden güvenlik güncellemeleri sunuldukça uygulamaya teşvik ediyoruz.” dedi.
Mobil cihazlarda bulunan çipsetler, genellikle hackerlar ve sıfır gün açıkları geliştiren kişiler için sık hedeflerdir çünkü çipler genellikle işletim sisteminin diğer bölümlerine geniş erişim sağlar. Bu durum, hackerların burada hareket ederek cihazın hassas verilerini içerebilecek diğer bölümlerine geçiş yapmalarına olanak tanır.
Son birkaç ayda, Qualcomm çipsetlerine yönelik istismar vakaları belgelenmiştir. Geçen yıl, Amnesty International, Sırp yetkililer tarafından kullanılan bir Qualcomm sıfır gün açığını tespit etti; bu durum muhtemelen telefon açma aracı üreten Cellebrite ile gerçekleştirilmiştir.
Qualcomm’un sözcüsünün yorumu dahil edilmiştir.
