जब लोग एंड्रॉइड एप्लिकेशन का उपयोग करते हैं, तो पृष्ठभूमि में जो कुछ भी हो रहा है वह आमतौर पर उनके दिमाग में नहीं आता है। दुर्भाग्य से, डायनेमिक कोड लोडिंग नामक एक प्रोग्रामिंग विकल्प सुरक्षा जोखिम पैदा कर सकता है। यहां आपको इसके बारे में जानने की जरूरत है।
डायनामिक कोड लोडिंग क्या है?
एप्लिकेशन डेवलपमेंट में, ऐप बनाते समय इस्तेमाल किया जाने वाला पूरा सोर्स कोड कोडबेस बनाता है। डायनामिक कोड लोडिंग किसी ऐप को अपने कोडबेस से परे सामग्री खींचने और संचालन, या रनटाइम के दौरान इसे निष्पादित करने की अनुमति देता है।
इस विकल्प के परिणामस्वरूप ऐप का आकार छोटा हो सकता है क्योंकि कोड को Android पैकेज किट (APK) में एम्बेड करने के बजाय दूरस्थ रूप से संग्रहीत करना एक सामान्य अभ्यास है।
एपीके फ़ाइल प्रारूप है जो एंड्रॉइड ऐप्स को वितरित और इंस्टॉल करते समय उपयोग करता है। इसमें किसी ऐप के संगत डिवाइस पर काम करने के लिए सभी घटक शामिल हैं। डायनामिक कोड लोडिंग विकास के दृष्टिकोण से लाभ लाता है, जिसमें कुछ ऐसे भी शामिल हैं जो ऐप की उपयोगिता में सुधार करते हैं।
उदाहरण के लिए, एक ऐप किसी व्यक्ति को अलग-अलग सामग्री दिखा सकता है, जो इस बात पर निर्भर करता है कि वे मुफ्त या प्रीमियम संस्करण का उपयोग करते हैं या नहीं। डायनामिक कोड लोडिंग एपीके आकार को बढ़ाए बिना उपयोगकर्ता के स्तर के आधार पर सही सामग्री प्रदर्शित कर सकती है।
इसके अतिरिक्त, डायनामिक कोड लोडिंग डेवलपर्स को छोटे बदलावों वाले नए ऐप संस्करण जारी करने की अनुमति देता है। उपयोगकर्ताओं को कुछ भी डाउनलोड किए बिना नवीनतम संस्करण मिलते हैं।
इन लाभों के बावजूद, डायनेमिक कोड लोड करने से Android ऐप सुरक्षा से संबंधित जोखिम बढ़ सकते हैं।
दुर्भावनापूर्ण ऐप्स में अक्सर डायनामिक कोड लोड हो रहा होता है
2019 के एक शोध पत्र के लेखकों ने उनकी समानताओं को खोजने के लिए दुर्भावनापूर्ण Android ऐप्स की जांच की। उन्होंने अन्य पक्षों द्वारा पूर्ण किए गए पिछले शोध का हवाला दिया जिसमें खतरनाक ऐप्स की शीर्ष विशेषता के रूप में डायनामिक कोड लोडिंग दिखाया गया था।
एक जांच में 86,798 ऐप्स में से लगभग 20,000 में डायनेमिक कोड लोड हो रहा था।
आगे स्पष्टीकरण से संकेत मिलता है कि लोग एक खतरनाक ऐप की मुख्य कार्यक्षमता को स्वतंत्र पुस्तकालयों में डालते हैं, फिर इसे चलाने के लिए गतिशील कोड लोडिंग का उपयोग करते हैं। यह तरीका ऐप के दुर्भावनापूर्ण व्यवहार को ढाल देता है, जिससे इसे कम पहचाना जा सकता है।
मैलवेयर के प्रकारों के बारे में Google का दस्तावेज़ीकरण यह भी स्पष्ट करता है कि गतिशील कोड के दुरुपयोग को पिछले दरवाजे की विविधता के रूप में चिह्नित किया जा सकता है। कंपनी पिछले दरवाजे के मैलवेयर को डिवाइस पर संभावित रूप से हानिकारक, रिमोट-नियंत्रित क्रियाओं को निष्पादित करने के रूप में परिभाषित करती है। इसके बाद इसने डायनामिक कोड लोडिंग का एक उदाहरण दिया जिससे एक ऐप टेक्स्ट संदेश निकालने की अनुमति देता है।
हालांकि, Google का कहना है कि यह देखता है कि कोड निष्पादन स्पष्ट रूप से दुर्भावनापूर्ण व्यवहार करता है या नहीं। यदि नहीं, तो कंपनी मनमाने ढंग से कोड निष्पादन को एक डेवलपर के पैच करने की भेद्यता के रूप में मानती है।
खतरनाक ऐप्स के मामलों में, मनमाने ढंग से कोड निष्पादन एक हैकर को किसी लक्षित डिवाइस पर दूरस्थ रूप से कमांड निष्पादित करने की अनुमति देता है।
शोधकर्ता एक गतिशील कोड लोड करने की समस्या की पहचान करते हैं
उपयोगकर्ताओं के लिए सुरक्षा बढ़ाने के लिए Google अक्सर निर्णायक कार्रवाई करता है। उदाहरण के लिए, तृतीय-पक्ष कुकीज़ उपयोगकर्ताओं को ट्रैक करती हैं, उनकी जानकारी सहेजती हैं, और बाद में उन्हें लक्षित विज्ञापन दिखाने के लिए इसका उपयोग करती हैं। हालांकि, कंपनी 2022 तक क्रोम ब्राउजर पर थर्ड-पार्टी कुकीज को ब्लॉक कर देगी। इसने बदलाव के लिए कोई विशेष तारीख नहीं दी।
हालाँकि, सुरक्षा पर ध्यान केंद्रित करने से कंपनी समस्याओं से मुक्त नहीं हो जाती है। साइबर सुरक्षा शोधकर्ताओं ने Google ऐप के भीतर लगातार मनमाना कोड निष्पादन पाया और कंपनी को इसकी सूचना दी। इस समस्या को मई 2021 में ठीक कर दिया गया था, लेकिन इसने अधिक लोगों को डायनामिक कोड लोडिंग से जुड़ी संभावित समस्याओं पर ध्यान देने के लिए प्रेरित किया।
शोधकर्ताओं ने पुष्टि की कि भेद्यता किसी व्यक्ति के Google डेटा को चोरी करने से पहले एक हमलावर को केवल एक बार ऐप लॉन्च करने देगी। एक हैकर किसी व्यक्ति के डिवाइस पर एक खतरनाक ऐप से कोड लाइब्रेरी खींचने के लिए Google ऐप दोष का फायदा उठा सकता है।
वहां से, साइबर अपराधी किसी व्यक्ति के लगभग सभी Google डेटा तक पहुंच सकते हैं, जिसमें उनके ईमेल भी शामिल हैं। वे उपयोगकर्ता के माइक्रोफ़ोन, कैमरा और रीयल-टाइम स्थान की जानकारी को भी सक्रिय कर सकते हैं।
खतरनाक ऐप भेद्यताओं के बारे में चेतावनियों पर ध्यान दें
चूंकि डायनामिक कोड लोडिंग विकास के अंत में होता है, एक औसत ऐप उपयोगकर्ता यह सत्यापित करने के लिए कुछ भी नहीं कर सकता है कि क्या कोई निश्चित पेशकश पृष्ठभूमि में कैसे काम करती है, इससे संबंधित छिपे हुए खतरे पैदा कर सकती है। हालांकि, तकनीकी सुर्खियों में आने वाली किसी भी Android ऐप सुरक्षा समाचार पर नज़र रखना बुद्धिमानी है।
साइबर सुरक्षा शोधकर्ता लगातार उन मुद्दों की तलाश करते हैं जो सैकड़ों हजारों ऐप उपयोगकर्ताओं को जोखिम में डाल सकते हैं, फिर उन पर रिपोर्ट करें। संभावित ऐप खतरों से अवगत रहने से उपयोगकर्ताओं को यह तय करने में मदद मिलेगी कि संभावित रूप से समस्याग्रस्त एप्लिकेशन को अपडेट करना या हटाना है या नहीं।