एंड्रॉइड एक्सेसिबिलिटी सर्विस बुजुर्गों और विकलांगों को अपने स्मार्टफोन का उपयोग करने में मदद करने का एक महत्वपूर्ण हिस्सा है। हालांकि, यह मैलवेयर डेवलपरों के लिए स्नीकी मैलवेयर बनाने के लिए लोगों के दिन को बर्बाद करने का द्वार भी खोलता है।
आइए एंड्रॉइड एक्सेसिबिलिटी सर्विस को एक्सप्लोर करें, और इसका उपयोग दुर्भावनापूर्ण इरादे के लिए कैसे किया जा सकता है।
Android एक्सेसिबिलिटी सर्विस क्या है?
एंड्रॉइड एक्सेसिबिलिटी सूट ऐप्स को विशेष कार्य करने के लिए फोन को नियंत्रित करने की अनुमति देता है। मुख्य लक्ष्य विकलांग लोगों को अपने फोन का उपयोग करने में सहायता करना है।
उदाहरण के लिए, यदि डेवलपर चिंतित है कि खराब दृष्टि वाले लोग कुछ पाठ नहीं पढ़ सकते हैं, तो वे उपयोगकर्ता को पाठ पढ़ने के लिए सेवा का उपयोग कर सकते हैं।
सेवा उपयोगकर्ता के लिए कार्रवाई भी कर सकती है और अन्य ऐप्स पर सामग्री को ओवरले कर सकती है। इन सभी का उद्देश्य लोगों को अपने फोन का उपयोग करने में मदद करना है और विभिन्न प्रकार की अक्षमताओं वाले उपयोगकर्ताओं को अपने उपकरणों का उपयोग करने की अनुमति देना है।
ध्यान दें कि यह एंड्रॉइड एक्सेसिबिलिटी सूट से अलग है। जबकि एक्सेसिबिलिटी सर्विस उन डेवलपर्स के लिए है जो अपने ऐप को बेहतर बनाना चाहते हैं, एंड्रॉइड एक्सेसिबिलिटी सूट का इस्तेमाल विकलांगों की मदद के लिए ऐप उपलब्ध कराने के लिए किया जाता है।
Android एक्सेसिबिलिटी सेवा का दुरुपयोग कैसे हो सकता है?
दुर्भाग्य से, डेवलपर्स को फोन पर अधिक नियंत्रण देना हमेशा दुर्भावनापूर्ण होता है। उदाहरण के लिए, वही सुविधा जो उपयोगकर्ता को टेक्स्ट पढ़ती है, टेक्स्ट को स्कैन भी कर सकती है और इसे डेवलपर को भेज सकती है।
उपयोगकर्ता क्रियाओं को नियंत्रित करना और ओवरले सामग्री प्रदर्शित करना दोनों ही क्लिकजैकिंग हमले के प्रमुख तत्व हैं। मैलवेयर इस सेवा का उपयोग स्वयं के लिए बटन क्लिक करने के लिए कर सकता है, जैसे स्वयं को प्रशासन विशेषाधिकार प्रदान करना। यह स्क्रीन पर सामग्री को ओवरले भी कर सकता है और उपयोगकर्ता को उस पर क्लिक करने के लिए प्रेरित कर सकता है।
Android एक्सेसिबिलिटी सेवा के दुर्भावनापूर्ण उपयोग के उदाहरण
हम एंड्रॉइड एक्सेसिबिलिटी सर्विस का उपयोग करके मैलवेयर की क्षमता के बारे में बात कर सकते हैं, लेकिन वास्तविक दुनिया के उदाहरणों का उपयोग करने से बेहतर तरीका क्या हो सकता है? Android के मैलवेयर इतिहास में ऐसे बहुत से हमले हैं जो अपने लाभ के लिए Android एक्सेसिबिलिटी सेवा का उपयोग करते हैं, तो आइए कुछ भारी हिटरों को देखें।
क्लोक एंड डैगर
क्लोक और डैगर इस तरह के मैलवेयर के सबसे डरावने उदाहरणों में से एक थे। इसने उपयोगकर्ता के फ़ोन पर सब कुछ पढ़ने के लिए अभिगम्यता सेवा को एक ओवरले ड्राइंग सेवा के साथ जोड़ दिया।
क्लोक और डैगर से लड़ने का मुख्य सिरदर्द इसके निष्पादन में था। इसने हमले को अंजाम देने के लिए वैध एंड्रॉइड सेवाओं का इस्तेमाल किया, जिसने इसे पिछले एंटीवायरस और पता लगाने की अनुमति दी। इससे डेवलपर्स के लिए Google Play स्टोर पर संक्रमित ऐप्स अपलोड करना भी आसान हो गया, क्योंकि सुरक्षा जांच उस पर नहीं होगी।
अनुबिस
Anubis एक बैंकिंग ट्रोजन है जो उपयोगकर्ताओं से बैंकिंग क्रेडेंशियल चुराकर और उन्हें डेवलपर को वापस भेजकर संचालित होता है। बैंकिंग ट्रोजन उन लोकप्रिय तरीकों में से एक है, जिनका उपयोग हैकर बैंक खातों में सेंध लगाने के लिए करते हैं।
लोग जो टाइप कर रहे थे उसे पढ़ने के लिए Anubis ने एक्सेसिबिलिटी सर्विसेज का उपयोग किया। बैंकिंग ट्रोजन आमतौर पर बैंकिंग ऐप की तरह दिखने वाले नकली ओवरले को दिखाकर वित्तीय विवरण प्राप्त करते हैं। यह उपयोगकर्ता को आधिकारिक ऐप के बजाय नकली बैंक ओवरले में अपना विवरण दर्ज करने के लिए मूर्ख बनाता है।
Anubis ने कीबोर्ड पर जो लिखा है उसे पढ़कर इस चरण को छोड़ दिया। भले ही उपयोगकर्ता ने वास्तविक बैंकिंग ऐप में अपना विवरण दर्ज करने का ध्यान रखा हो, फिर भी Anubis को उनका विवरण मिल जाएगा।
जिनप
आइए कुछ और हाल ही में एक्सप्लोर करें। Ginp एक Android Trojan है जो Anubis से प्रेरणा लेता है। जबकि इसमें Anubis का कोड था, प्रोग्राम स्रोत मैलवेयर का एक संशोधित संस्करण नहीं था। डेवलपर ने इसे शुरुआत से बनाया, फिर बाद में विशिष्ट कार्यों को करने के लिए Anubis से कोड चुरा लिया।
Ginp Adobe Flash Player होने का दिखावा करेगा, फिर उपयोगकर्ता से पूछें कि क्या वे इसे इंस्टॉल करना चाहते हैं। इसके बाद यह एक्सेसिबिलिटी सर्विसेज सहित कई अनुमतियां मांगेगा।
यदि उपयोगकर्ता ने नकली फ़्लैश प्लेयर की अनुमति दी है, तो Ginp स्वयं को प्रशासन विशेषाधिकार प्रदान करने के लिए सेवा का उपयोग करेगा। इन विशेषाधिकारों के साथ, यह तब खुद को फोन के डिफ़ॉल्ट फोन और एसएमएस ऐप के रूप में सेट कर सकता था। यहां से, यह एसएमएस संदेशों को एकत्रित कर सकता है, स्वयं के संदेश भेज सकता है, संपर्क सूची प्राप्त कर सकता है, और कॉल अग्रेषित कर सकता है।
चीजों को बदतर बनाने के लिए, जिनप ने अनुबिस की किताब से एक पेज भी लिया और बैंक घोटाले में चले गए। यह आधिकारिक ऐप के पेज पर बैंक लॉगिन पेज को ओवरले करने के लिए एक्सेसिबिलिटी सर्विसेज का उपयोग करता है, जो तब उपयोगकर्ता के लॉगिन विवरण और क्रेडिट कार्ड की जानकारी को इकट्ठा करता है।
Google उपयोगकर्ताओं की रक्षा के लिए क्या कर रहा है?
जब एक्सेसिबिलिटी सर्विस मालवेयर डेवलपर्स के हाथों में आ गई, तो Google ने दुरुपयोग को रोकने की कोशिश की। 2017 में वापस, उन्होंने डेवलपर्स को एक ईमेल भेजा जिसमें कहा गया था कि कोई भी ऐप जो विकलांगों की सहायता के लिए सेवा का उपयोग नहीं करता है, उनका ऐप तुरंत हटा दिया जाएगा।
दुर्भाग्य से, इसने लोगों द्वारा संक्रमित ऐप्स अपलोड करने पर रोक नहीं लगाई थी। वास्तव में, आधिकारिक सेवाओं का उपयोग करने की इसकी प्रकृति के कारण, पहुंच योग्यता के दुरुपयोग को नोटिस करना काफी कठिन है।
तृतीय-पक्ष स्टोर पर ऐप्स भी अच्छा प्रदर्शन नहीं करते हैं। Google हैकिंग ऐप्स के लिए Google Play सेवा को स्कैन करता है और जो कुछ भी पाता है उसे हटा देता है। हालाँकि, तृतीय-पक्ष स्टोर में यह विलासिता नहीं है। इसका मतलब यह है कि तीसरे पक्ष के स्टोर पर मौजूद ऐप्स बिना पता लगाए एक्सेसिबिलिटी सेवाओं का जितना चाहें उतना दुरुपयोग कर सकते हैं।
Android Accessibility Services Malware से कैसे बचें
जब आप Android पर कोई ऐप इंस्टॉल करते हैं, तो आपको कभी-कभी उन अनुमतियों की एक सूची दिखाई देती है, जिनका ऐप उपयोग करना चाहता है। देखने के लिए स्पष्ट लाल झंडे हैं, जैसे एक नोट लेने वाला ऐप जो आपके एसएमएस संदेशों पर पूर्ण नियंत्रण मांग रहा है।
जब कोई ऐप एक्सेसिबिलिटी सेवाओं तक पहुंच के लिए कहता है, हालांकि, यह बहुत संदिग्ध नहीं लगता है। आखिर, क्या होगा अगर ऐप में विकलांगों की मदद करने के लिए अतिरिक्त सुविधाएं हैं? यह एक ऐसी अनुमति है जिसके लिए उपयोगकर्ता हां कहने में सुरक्षित महसूस करते हैं, जिससे यदि ऐप का दुर्भावनापूर्ण इरादा हो तो समस्या हो सकती है।
जैसे, पहुँच-योग्यता सेवा अनुमतियों से सावधान रहें। यदि कोई वायरल और उच्च-रेटेड ऐप उनसे मांगता है, तो यह मान लेना सुरक्षित है कि यह विकलांगों की मदद करने के लिए है। हालांकि, यदि अपेक्षाकृत कम समीक्षाओं वाला कोई अपेक्षाकृत नया ऐप उन्हें सीधे तौर पर पूछता है, तो सावधानी बरतना और इंस्टॉल के साथ आगे नहीं बढ़ना सबसे अच्छा हो सकता है।
साथ ही, जितनी बार हो सके आधिकारिक ऐप स्टोर का उपयोग करें। जबकि एक्सेसिबिलिटी अटैक को पहचानना मुश्किल है, Google रंगे हाथों पकड़े गए किसी भी ऐप को हटा देगा। हालाँकि, तृतीय-पक्ष स्टोर इन ऐप्स को अपने स्टोर पर रहने दे सकते हैं क्योंकि यह अधिक से अधिक उपयोगकर्ताओं को संक्रमित करता है।
अपने फ़ोन को अनुमति दुरुपयोग से सुरक्षित रखना
ऐप को विकलांगता सेवाओं तक पहुंच प्रदान करने के लिए यह काफी निर्दोष लग सकता है, लेकिन परिणाम कुछ भी हो सकते हैं। दुर्भावनापूर्ण ऐप्स एंड्रॉइड की एक्सेसिबिलिटी सेवाओं का उपयोग आप जो लिख रहे हैं उस पर नजर रखने, लोगों को बेवकूफ बनाने के लिए ओवरले प्रदर्शित करने और यहां तक कि खुद को उच्च पहुंच प्रदान करने के लिए कर सकते हैं। यदि आप चिंतित हैं, तो यहां बताया गया है कि आपका Android हैक हुआ है या नहीं।
अन्य सुलभता विकल्पों में रुचि रखते हैं? यहां बताया गया है कि वीडियो गेम के लिए एक्सेसिबिलिटी क्यों महत्वपूर्ण है।
अगर आप मैलवेयर अनुमति के दुरुपयोग के बारे में अधिक जानना चाहते हैं, तो स्मार्टफोन ऐप अनुमतियों की जांच करें जिनकी आपको आज ही जांच करने की आवश्यकता है।