एंड्रॉइड भेद्यता एक बड़े पैमाने पर डेटा उल्लंघन के समान भावनाओं को जन्म देती है:एक आम-से-सामान्य घटना जिसका मैं खुद का हिस्सा पा सकता हूं। कम से कम एक बड़े पैमाने पर डेटा उल्लंघन के साथ मेरे पास अपने खातों को काटने और डेटा-घाव को कम करने का अवसर है। नवीनतम Android बग के साथ -- QuadRoot -- यह केवल एक विकल्प नहीं है।
यह इस तथ्य के कारण कोई छोटा हिस्सा नहीं है कि भेद्यता पूरी तरह से Android के साथ नहीं है। नहीं, अमेरिकी हार्डवेयर निर्माता कंपनी क्वालकॉम ने आपके डिवाइस के साथ संभावित रूप से समझौता किया है, और दुनिया भर में असंख्य एंड्रॉइड डिवाइसों के लिए उनकी पसंद के पावरहाउस के रूप में उनकी प्रतिष्ठित लोकप्रियता है।
यह बग मानक से थोड़ा अलग है। जहां एंड्रॉइड बग आमतौर पर हार्डवेयर के एक विशिष्ट सेट का उपयोग करने वाले निर्माताओं की एक या छोटी संख्या को प्रभावित करते हैं, क्वाडरूट का दुनिया भर में लगभग 900 मिलियन एंड्रॉइड उपयोगकर्ताओं को प्रभावित करने का अनुमान है। वह आप हैं, और मैं, और हर कोई जिसे आपने कभी प्यार किया है।
आइए देखें कि क्वाडरूट क्या है, आपके लिए इसका क्या अर्थ है, और इसे ठीक करने के लिए कोई भी वास्तव में क्या कर रहा है।
Quadroot बड़ा है
पिछले कुछ वर्षों में हमने जिन अन्य Android बगों का सामना किया है, उनके अलावा कुछ चीजें QuadRoot को अलग करती हैं। शुरुआत के लिए, चेक प्वाइंट, बग की खोज करने वाली सुरक्षा अनुसंधान टीम बताती है कि:
<ब्लॉकक्वॉट>"क्वाडरूटर क्वालकॉम चिपसेट का उपयोग करके बनाए गए एंड्रॉइड डिवाइस को प्रभावित करने वाली चार कमजोरियों का एक सेट है। क्वालकॉम एलटीई मॉडेम बेसबैंड बाजार के 65% हिस्से के साथ एलटीई चिपसेट का दुनिया का अग्रणी डिजाइनर है। यदि चार कमजोरियों में से किसी एक का शोषण किया जाता है, तो एक हमलावर कर सकता है किसी डिवाइस तक रूट पहुंच प्राप्त करने के उद्देश्य से विशेषाधिकार वृद्धि को ट्रिगर करें।"
वे चार सुरक्षा कमजोरियों को इस प्रकार सूचीबद्ध करते हैं:
- CVE-2016-2503 क्वालकॉम के GPU ड्राइवर में खोजा गया और जुलाई 2016 के लिए Google के Android सुरक्षा बुलेटिन में तय किया गया।
- CVE-2016-2504 Qualcomm GPU ड्राइवर में मिला और अगस्त 2016 के लिए Google के Android सुरक्षा बुलेटिन में तय किया गया।
- CVE-2016-2059 क्वालकॉम कर्नेल मॉड्यूल में मिला और अप्रैल में तय किया गया, हालांकि पैच की स्थिति अज्ञात है।
- CVE-2016-5340 Qualcomm GPU ड्राइवर में प्रस्तुत किया गया और तय किया गया, लेकिन पैच स्थिति अज्ञात है।
क्या मेरा डिवाइस असुरक्षित है?
चूंकि क्वालकॉम एलटीई (लॉन्ग टर्म इवोल्यूशन) चिपसेट का दुनिया का अग्रणी डिजाइनर और निर्माता है, जो एलटीई बेसबैंड मॉडम बाजार के लगभग 65% हिस्से पर कब्जा करता है, इस बात की एक महत्वपूर्ण संभावना है कि आपका डिवाइस उजागर हो जाएगा। आप चेक प्वाइंट (वे लोग जिन्हें भेद्यता मिली) द्वारा विकसित और प्रकाशित क्वाडरूटर स्कैनर [अब उपलब्ध नहीं] का उपयोग करके जांच कर सकते हैं कि आपका डिवाइस कमजोर है या नहीं। मेरे पास वनप्लस वन है:
सचमुच मेरे लिए दुखद समय।
क्या मेरे शोषण की संभावना है?
चेक प्वाइंट सलाह देता है कि इनमें से किसी एक कमजोरियों वाले डिवाइस को उजागर करना अपेक्षाकृत आसान है।
<ब्लॉकक्वॉट>"एक हमलावर दुर्भावनापूर्ण ऐप का उपयोग करके इन कमजोरियों का फायदा उठा सकता है। इस तरह के ऐप को इन कमजोरियों का लाभ उठाने के लिए किसी विशेष अनुमति की आवश्यकता नहीं होगी, जिससे उपयोगकर्ताओं को इंस्टॉल करते समय किसी भी संदेह को कम किया जा सके।"
यह कोई दोष नहीं है जिसे फर्मवेयर अपडेट द्वारा पेश किया गया है। आपके डिवाइस को शिप करते समय भेद्यता मौजूद थी। चिपसेट घटकों के बीच संचार को नियंत्रित करने वाले सॉफ़्टवेयर ड्राइवरों में पाई जाने वाली खराबी को वास्तविक रूप से केवल डिवाइस निर्माता द्वारा OTA अपडेट के माध्यम से ठीक किया जा सकता है।
पिछले साल के स्टेजफ्राइट बग के विपरीत, क्वाडरूट को वास्तव में एक दुर्भावनापूर्ण ऐप की स्थापना की आवश्यकता होती है, संभवतः "अज्ञात स्रोतों" से ऐप इंस्टॉलेशन को सक्षम करने के बाद। साथ ही साथ, और जैसा कि Google ने अपने बयान में बताया है (जिसे आप निम्नलिखित अनुभाग में पढ़ सकते हैं), एंड्रॉइड की "वेरिफाई ऐप" सुविधा को इस सटीक प्रकार की भेद्यता से बचाने के लिए डिज़ाइन किया गया है। यह सुविधा Android 4.2 जेली बीन के साथ आई है, और यह देखते हुए कि सभी Android उपकरणों में से 90% से अधिक अब इस संस्करण या बाद में चल रहे हैं, और कि यह बग केवल उपरोक्त चिपसेट को प्रभावित करता है - मुझे लगता है कि सब कुछ ठीक हो जाएगा।
अब क्या हो रहा है?
एक पेशेवर सुरक्षा अनुसंधान कंपनी होने के नाते, चेक प्वाइंट ने क्वालकॉम को महीनों पहले भेद्यता के बारे में सूचित किया। जैसे, उनके पास पहले से ही एक चिपसेट पैच निर्माता है जिसे आपके डिवाइस निर्माता के लिए रोल आउट किया गया है। गेंद अब मजबूती से उनके पाले में है।
कई लोकप्रिय उपकरण निर्माताओं ने अपने उपयोगकर्ता-आधार को आश्वस्त करने के लिए पहले ही कदम उठा लिए हैं। एक मामले में, फिक्स पहले ही शुरू हो चुका है। यहां कुछ प्रमुख निर्माता और उनकी वर्तमान स्थिति [टूटा हुआ URL निकाला गया] है।
Google अपने उपयोगकर्ताओं की सुरक्षा के लिए तेज़ी से आगे बढ़ा है।
<ब्लॉकक्वॉट>"हमारे सबसे हालिया सुरक्षा पैच स्तर वाले एंड्रॉइड डिवाइस पहले से ही इन चार कमजोरियों में से तीन के खिलाफ सुरक्षित हैं। चौथी भेद्यता, सीवीई-2016-5340, आगामी एंड्रॉइड सुरक्षा बुलेटिन में संबोधित की जाएगी, हालांकि एंड्रॉइड पार्टनर्स को संदर्भित करके जल्द ही कार्रवाई कर सकते हैं। क्वालकॉम ने सार्वजनिक पैच प्रदान किया है।"
Android के पीछे मुख्य डेवलपर के रूप में, Google Android उपकरणों के लिए पहले से मौजूद अन्य सुरक्षा उपायों को उजागर करने के लिए भी उत्सुक था।
<ब्लॉकक्वॉट>"हमारे सत्यापित ऐप्स और सेफ्टीनेट सुरक्षाएं ऐसी कमजोरियों का फायदा उठाने वाले एप्लिकेशन को पहचानने, ब्लॉक करने और निकालने में मदद करती हैं।"
लोकप्रिय उपकरण: Nexus 5X, Nexus 6, Nexus 6P
ब्लैकबेरी
जैसा कि मैंने ऊपर बताया, एक निर्माता ने पहले ही अपने उपयोगकर्ताओं के लिए इसे ठीक कर दिया था। हैंडसेट बनाने वाले दिग्गज, ब्लैकबेरी की प्रशंसा और प्रशंसा की जाए।
<ब्लॉकक्वॉट>"अगस्त मार्शमैलो पैच के साथ PRIV उपकरणों और सभी DTEK50 उपकरणों पर चार में से तीन कमजोरियों को पहले ही ठीक कर दिया गया है। इसके अलावा, सभी ब्लैकबेरी उपकरणों में मौजूद सुरक्षित बूट श्रृंखला स्वाभाविक रूप से शेष समस्या को कम करती है। हमें किसी भी कारनामे के बारे में पता नहीं है। जंगली में इस भेद्यता के लिए और हमें नहीं लगता कि वर्तमान में किसी भी ग्राहक को इस मुद्दे से जोखिम है।"
लोकप्रिय उपकरण: ब्लैकबेरी प्रिवी
सोनी
Sony अपने क्वालकॉम डिवाइस के लिए पैच उपलब्ध कराने की दिशा में काम कर रहा है।
<ब्लॉकक्वॉट>"सोनी मोबाइल ग्राहक डेटा की सुरक्षा और गोपनीयता को बहुत गंभीरता से लेता है। हम 'क्वाडरूटर' भेद्यता के बारे में जानते हैं, और सामान्य और नियमित सॉफ़्टवेयर रखरखाव के भीतर सुरक्षा पैच उपलब्ध कराने के लिए काम कर रहे हैं, दोनों सीधे ओपन-मार्केट डिवाइस और हमारे माध्यम से वाहक भागीदार, इसलिए क्षेत्र और/या ऑपरेटर के अनुसार समय अलग-अलग हो सकता है।"
लोकप्रिय उपकरण: सोनी एक्सपीरिया जेड अल्ट्रा
मोटोरोला
मोटोरोला एक और निर्माता है जो खुशखबरी देने में सक्षम है।
<ब्लॉकक्वॉट>"हाल ही में एक संभावित सुरक्षा भेद्यता, कुछ Android उपकरणों में Quadrooter की खोज की गई थी। इस संभावित भेद्यता का केवल तभी फायदा उठाया जा सकता है जब कोई उपयोगकर्ता अंतर्निहित Android सुरक्षा उपाय को अक्षम कर देता है और एक दुर्भावनापूर्ण एप्लिकेशन डाउनलोड करता है। इसे अक्षम करने के तरीके के बारे में अधिक जानकारी के लिए, यह लिंक उपभोक्ताओं के लिए मददगार है।"
लोकप्रिय उपकरण: मोटो एक्स
एचटीसी
क्वाडरूट के बारे में एचटीसी कुछ हद तक शांत है, यह देखते हुए कि उनके कम से कम दो उपकरणों के संपर्क में आने का खतरा है।
<ब्लॉकक्वॉट>"HTC ग्राहक सुरक्षा को बहुत गंभीरता से लेता है। हम इन रिपोर्टों से अवगत हैं और उनकी जांच कर रहे हैं।"
लोकप्रिय उपकरण: एचटीसी 10, एचटीसी वन एम9
वनप्लस
OnePlus ने अपने अगले पैच में QuadRoot अपडेट को शामिल करने के लिए आकस्मिक योजनाएँ बनाई हैं।
<ब्लॉकक्वॉट>"वनप्लस के लिए सुरक्षा सर्वोच्च प्राथमिकता है। संबंधित सुरक्षा पैच सभी वनप्लस डिवाइसों के लिए अगले ओटीए (ओवर द एयर अपडेट) में शामिल किए जाएंगे।"
सैमसंग
सैमसंग की ओर से अभी तक कोई आधिकारिक बयान नहीं आया है।
लोकप्रिय उपकरण: गैलेक्सी S7, गैलेक्सी S7 एज
एलजी
फिर से, एलजी की ओर से अभी तक कोई आधिकारिक बयान नहीं आया है।
लोकप्रिय उपकरण: एलजी जी5, एलजी जी4, एलजी वी10
चिंता करने का समय?
अधिकांश सुरक्षा कमजोरियों की तरह, आपको सतर्क रहना होगा। ये कमजोरियां मौजूद हैं, लेकिन जब तक आप संबंधित दुर्भावनापूर्ण कोड वाला कोई ऐप डाउनलोड नहीं करते हैं, तब तक आपको अपने डिवाइस से छेड़छाड़ की संभावना नहीं है।
Google Play Store में लाखों एप्लिकेशन हैं; इन विशेष बगों का फायदा उठाने के लिए डिज़ाइन किया गया दुर्भावनापूर्ण कोड वाला ऐप उनमें से कोई भी हो सकता है। ऐसे में सतर्क रहें। प्रतिक्रिया की जाँच करें। डेवलपर और प्रकाशक की जानकारी को क्रॉस-चेक करें। डाउनलोड के आंकड़े देखें। सामान्य घोटालों पर विचार करें। ऐसे हास्यास्पद ऐप्स डाउनलोड न करें जो आपके फोन को किसी ऐसी चीज में बदलने की पेशकश करते हैं जो वह नहीं है।
इससे पहले कि आपका डिवाइस निर्माता आपकी सुरक्षा को बेहतर बनाने के लिए पैच जारी करे, आपको किसी भी संभावित हानिकारक कारकों से बचने का प्रबंधन करना चाहिए। हालाँकि, यह नवीनतम बग फिर से पूरे Android सुरक्षा मॉडल में मौजूद अंतर्निहित जोखिमों को उजागर करता है। Apple के विपरीत, जो अपने करोड़ों उपयोगकर्ताओं के लिए केवल एक पैच और रोलआउट विकसित कर सकता है, महत्वपूर्ण Android सुरक्षा पैच को उन उपयोगकर्ताओं तक पहुँचने से पहले प्रत्येक निर्माता की पूरी आपूर्ति श्रृंखला से गुजरना पड़ता है, जिन्हें वे मदद करने के लिए डिज़ाइन किए गए हैं।
मुझे Android पसंद है, और मैं इसका उपयोग करना पूरी तरह से जारी रखूंगा, लेकिन एक उपयोगकर्ता के रूप में, आपको सावधान रहना चाहिए।
QuadRoot के बारे में चिंतित हैं? क्या एंड्रॉइड की कमजोरियों की संख्या आपको प्लेटफॉर्म पर पुनर्विचार करने के लिए मजबूर करती है? हमें नीचे अपने विचार बताएं!