विज्ञापन
एक नए एंड्रॉइड भेद्यता ने सुरक्षा दुनिया को चिंतित कर दिया है - और यह आपके एंड्रॉइड फोन को बेहद कमजोर बनाता है। मुद्दा एक सहज एंड्रॉइड मॉड्यूल नामक छह बग के रूप में आता है मंच का भय, जो मीडिया प्लेबैक के लिए उपयोग किया जाता है।
स्टेजफायर बग्स एक दुर्भावनापूर्ण एमएमएस की अनुमति देता है, जिसे हैकर द्वारा भेजा जाता है, जो स्टेजफाइट मॉड्यूल के अंदर दुर्भावनापूर्ण कोड निष्पादित करता है। वहां से, कोड में डिवाइस पर नियंत्रण पाने के कई विकल्प हैं। फिलहाल, 950 मिलियन डिवाइस जैसे कुछ इस शोषण की चपेट में हैं।
यह इतिहास में सबसे खराब Android भेद्यता है।
साइलेंट टेकओवर
एंड्रॉइड उपयोगकर्ता पहले से ही उल्लंघन के बारे में और अच्छे कारण से परेशान हो रहे हैं। ट्विटर का एक त्वरित स्कैन कई अनियमित उपयोगकर्ताओं को दिखाता है जैसे ही समाचार वेब की अनुमति देता है।
मैं जो सुनता हूं, उससे भी नेक्सस डिवाइसों को पैच नहीं दिया गया है #मंच का भय. कोई फोन है? http://t.co/bnNRW75TrD
- थॉमस ब्रूस्टर (@iblametom) 27 जुलाई, 2015
इस हमले का एक हिस्सा इतना डरावना है कि कोई भी उपयोगकर्ता इसके खिलाफ खुद को बचाने के लिए कर सकता है। संभवतः, उन्हें यह भी पता नहीं होगा कि हमला हुआ है।
आम तौर पर, एंड्रॉइड डिवाइस पर हमला करने के लिए, आपको एक दुर्भावनापूर्ण एप्लिकेशन इंस्टॉल करने के लिए उपयोगकर्ता को प्राप्त करने की आवश्यकता होती है। यह हमला अलग है: हमलावर को बस आपका फोन नंबर जानना होगा, और एक दुर्भावनापूर्ण मल्टीमीडिया संदेश भेजना होगा.
आपके द्वारा उपयोग किए जा रहे मैसेजिंग ऐप के आधार पर, आप यह भी नहीं जान सकते हैं कि संदेश आ गया है। उदाहरण के लिए: यदि आपके एमएमएस संदेश से गुजरते हैं एंड्रॉइड का Google Hangouts अपने Android पर Google Hangouts का उपयोग कैसे करेंGoogle+ Hangouts चैट रूम के लिए Google का जवाब है। आप वीडियो, ऑडियो और टेक्स्ट चैट के साथ-साथ कई वैकल्पिक ऐप का उपयोग कर 12 लोगों के साथ घूम सकते हैं। आपके Android पर Hangout उपलब्ध है ... अधिक पढ़ें , दुर्भावनापूर्ण संदेश नियंत्रण और अपने आप को छिपाने में सक्षम हो जाएगा इससे पहले कि सिस्टम ने उपयोगकर्ता को सूचित किया कि वह आ गया था। अन्य मामलों में, जब तक संदेश वास्तव में नहीं देखा जाता है, तब तक शोषण नहीं हो सकता है, लेकिन अधिकांश उपयोगकर्ता इसे केवल हानिरहित लिखेंगे स्पैम टेक्स्ट एंड्रॉइड के लिए Truemessenger के साथ अज्ञात नंबर और ब्लॉक स्पैम टेक्स्ट मैसेजेस को पहचानेंTruemessenger पाठ संदेश भेजने और प्राप्त करने के लिए एक शानदार नया ऐप है, और यह आपको बता सकता है कि अज्ञात नंबर कौन है और स्पैम को ब्लॉक करें। अधिक पढ़ें या एक गलत संख्या।
एक बार सिस्टम के अंदर, स्टेजफायर के भीतर चलने वाले कोड में स्वचालित रूप से कैमरा और माइक्रोफोन, साथ ही ब्लूटूथ बाह्य उपकरणों, और एसडी कार्ड पर संग्रहीत किसी भी डेटा तक पहुंच होती है। यह काफी बुरा है, लेकिन (दुर्भाग्य से) यह सिर्फ शुरुआत है।
जबकि एंड्रॉइड लॉलीपॉप लागू होता है कई सुरक्षा सुधार एंड्रॉइड लॉलीपॉप पर अपग्रेड करने के 8 तरीके आपके फोन को अधिक सुरक्षित बनाते हैंहमारे स्मार्टफोन संवेदनशील जानकारी से भरे हुए हैं, इसलिए हम खुद को कैसे सुरक्षित रख सकते हैं? एंड्रॉइड लॉलीपॉप के साथ, जो सुरक्षा क्षेत्र में एक बड़ा पंच पैक करता है, जो उन विशेषताओं को लाता है जो बोर्ड में सुरक्षा में सुधार करते हैं। अधिक पढ़ें , सबसे Android डिवाइस हैं अभी भी OS के पुराने संस्करण चल रहे हैं Android संस्करण और अपडेट के लिए एक त्वरित गाइड [Android]यदि कोई आपको बताता है कि वे Android चला रहे हैं, तो वे उतना नहीं कह रहे हैं जितना आप सोचते हैं। प्रमुख कंप्यूटर ऑपरेटिंग सिस्टम के विपरीत, एंड्रॉइड एक व्यापक ओएस है जो कई संस्करणों और प्लेटफार्मों को कवर करता है। यदि आप चाहते हैं... अधिक पढ़ें , और "विशेषाधिकार वृद्धि हमले" नामक कुछ के लिए कमजोर हैं। आम तौर पर, Android ऐप्स “सैंडबॉक्स एक सैंडबॉक्स क्या है, और आपको एक में क्यों खेलना चाहिएअत्यधिक संयोजी कार्यक्रम बहुत कुछ कर सकते हैं, लेकिन वे खराब हैकरों को हड़ताल करने के लिए एक खुला निमंत्रण भी हैं। हमलों को सफल होने से रोकने के लिए, एक डेवलपर को हर एक छेद को बंद करना होगा ... अधिक पढ़ें ", उन्हें ओएस के केवल उन पहलुओं तक पहुंचने की अनुमति देता है, जिनका उपयोग करने के लिए उन्हें स्पष्ट अनुमति दी गई है। प्रिविलेज एस्केलेशन अटैक, एंड्रॉइड ऑपरेटिंग सिस्टम को डिवाइस के लिए अधिक से अधिक एक्सेस देने के लिए दुर्भावनापूर्ण कोड को "ट्रिक" करने की अनुमति देता है।
एक बार जब दुर्भावनापूर्ण MMS ने स्टेजफ़ाइट का नियंत्रण ले लिया है, तो यह इन हमलों का उपयोग पुराने, असुरक्षित एंड्रॉइड उपकरणों पर कुल नियंत्रण लेने के लिए कर सकता है। डिवाइस सुरक्षा के लिए यह एक बुरा सपना है। इस मुद्दे पर पूरी तरह से प्रतिरक्षा करने वाले एकमात्र उपकरण एंड्रॉइड 2.2 (फ्रायो) की तुलना में पुराने ऑपरेटिंग सिस्टम हैं, यह वह संस्करण है जिसने पहली बार में स्टेजफायर को पेश किया था।
धीमी प्रतिक्रिया
अप्रैल में स्टेजफेयर भेद्यता को मूल रूप से अप्रैल में उजागर किया गया था जिम्परियम zLabsसुरक्षा शोधकर्ताओं का एक समूह। शोधकर्ताओं ने इस मुद्दे को Google को रिपोर्ट किया। Google ने निर्माताओं को जल्दी से एक पैच जारी किया - हालांकि, बहुत कम डिवाइस निर्माताओं ने वास्तव में पैच को अपने उपकरणों पर धकेल दिया है। शोधकर्ता ने बग की खोज की, जोशुआ ड्रेक, का मानना है कि लगभग 950 मिलियन प्रचलन में अनुमानित एक बिलियन एंड्रॉइड डिवाइस हमले के किसी न किसी रूप में कमजोर हैं।
वाह! @BlackHatEvents मेरे शोध के बारे में बोलने के लिए मेरी विनम्रता को स्वीकार किया @एंड्रॉयडठीक है! https://t.co/9BW4z6Afmg
- जोशुआ जे। ड्रेक (@jduck) २० मई २०१५
Google के अपने डिवाइस जैसे Nexus 6 को ड्रेक के अनुसार आंशिक रूप से पैच किया गया है, हालांकि कुछ भेद्यताएं बनी हुई हैं। इस विषय पर FORBES को ईमेल में, Google ने उपयोगकर्ताओं को आश्वस्त किया कि,
“सभी नए उपकरणों सहित अधिकांश एंड्रॉइड डिवाइसों में कई प्रौद्योगिकियां हैं जो शोषण को और अधिक कठिन बनाने के लिए डिज़ाइन की गई हैं। एंड्रॉइड डिवाइस में उपयोगकर्ता डेटा और डिवाइस पर अन्य एप्लिकेशन की सुरक्षा के लिए डिज़ाइन किया गया एप्लिकेशन सैंडबॉक्स भी शामिल होता है।
हालाँकि, यह बहुत आराम नहीं है। जब तक Android जेलीबीन शीर्ष 12 जेली बीन युक्तियाँ एक नया Google गोली अनुभव के लिएएंड्रॉइड जेली बीन 4.2, शुरू में नेक्सस 7 पर भेज दिया गया था, एक नया टैबलेट अनुभव प्रदान करता है जो एंड्रॉइड के पिछले संस्करणों को आउटशाइन करता है। इसने हमारे निवासी Apple प्रशंसक को भी प्रभावित किया। यदि आपके पास नेक्सस 7 है, ... अधिक पढ़ें , एंड्रॉइड में सैंडबॉक्सिंग अपेक्षाकृत कमजोर रहा है, और कई ज्ञात कारनामे हैं जिनका उपयोग इसके चारों ओर करने के लिए किया जा सकता है। यह वास्तव में महत्वपूर्ण है कि निर्माता इस मुद्दे के लिए एक उचित पैच रोल आउट करें।
तुम क्या कर सकते हो?
दुर्भाग्य से, हार्डवेयर निर्माता इन प्रकार के महत्वपूर्ण सुरक्षा पैच को रोल आउट करने के लिए बेहद धीमा हो सकते हैं। यह निश्चित रूप से आपके डिवाइस निर्माता के ग्राहक सहायता विभाग से संपर्क करने और पैच कब उपलब्ध होगा, इस बारे में अनुमान लगाने के लिए कहेंगे। जनता का दबाव संभवत: चीजों को गति देने में मदद करेगा।
ड्रेक के हिस्से के लिए, वह DEFCON में अपने निष्कर्षों की पूरी सीमा को प्रकट करने की योजना बना रहा है, जो एक अंतरराष्ट्रीय सुरक्षा सम्मेलन है जो अगस्त की शुरुआत में होता है। उम्मीद है कि जोड़ा प्रचार डिवाइस निर्माताओं को जल्दी से अपडेट जारी करने के लिए प्रेरित करेगा, अब यह हमला सामान्य ज्ञान है।
एक व्यापक नोट पर, यह एक अच्छा उदाहरण है कि एंड्रॉइड विखंडन इस तरह के सुरक्षा दुःस्वप्न क्यों है।
फिर से यह एक आपदा है #एंड्रॉयड अद्यतन हार्डवेयर निर्माताओं के हाथों में हैं। एंड्रॉइड को गंभीरता से नुकसान पहुंचाना चाहिए। #मंच का भय
- माइक? (@Mipesom) 27 जुलाई, 2015
IOS जैसे लॉक-डाउन इकोसिस्टम पर, इसके लिए एक पैच को घंटों में बाहर निकाला जा सकता है। Android पर, विखंडन के विशाल स्तर के कारण हर डिवाइस को गति प्राप्त करने में महीनों या वर्षों का समय लग सकता है। मुझे यह देखने में दिलचस्पी है कि डिवाइस-निर्माताओं के हाथों से इन सुरक्षा-महत्वपूर्ण अपडेट लाने के लिए Google आने वाले वर्षों में क्या समाधान शुरू करेगा।
क्या आप एक Android उपयोगकर्ता इस समस्या से प्रभावित हैं? आपकी गोपनीयता के बारे में चिंतित हैं? हमें टिप्पणियों में अपने विचार बताएं!
छवि क्रेडिट: बैक लाइट वाला कीबोर्ड विकिमीडिया द्वारा
दक्षिण पश्चिम में स्थित एक लेखक और पत्रकार, आंद्रे को 50 डिग्री सेल्सियस तक कार्यात्मक रहने की गारंटी है, और बारह फीट की गहराई तक जलरोधी है।