एक नई एंड्रॉइड भेद्यता ने सुरक्षा जगत को चिंतित कर दिया है - और यह आपके एंड्रॉइड फोन को बेहद कमजोर बना देता है। यह समस्या स्टेजफ़्राइट नामक एक सहज एंड्रॉइड मॉड्यूल में छह बग के रूप में आती है, जिसका उपयोग मीडिया प्लेबैक के लिए किया जाता है।
स्टेजफ्राइट बग्स एक हैकर द्वारा भेजे गए दुर्भावनापूर्ण एमएमएस को स्टेजफ्राइट मॉड्यूल के अंदर दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति देता है। वहां से, डिवाइस पर नियंत्रण पाने के लिए कोड में कई विकल्प हैं। फिलहाल, 950 मिलियन डिवाइस जैसे कुछ इस शोषण की चपेट में हैं।
सीधे शब्दों में कहें तो यह इतिहास की सबसे खराब Android भेद्यता है।
साइलेंट टेकओवर
एंड्रॉइड उपयोगकर्ता पहले से ही उल्लंघन के बारे में और अच्छे कारण से परेशान हो रहे हैं। ट्विटर का एक त्वरित स्कैन कई चिड़चिड़े उपयोगकर्ताओं को दिखाता है जैसे समाचार वेब पर फैलते हैं।
इस हमले को इतना डरावना बनाने का एक हिस्सा यह है कि इससे खुद को बचाने के लिए बहुत कम उपयोगकर्ता कर सकते हैं। शायद उन्हें पता भी नहीं होगा कि हमला हुआ है।
आम तौर पर, एंड्रॉइड डिवाइस पर हमला करने के लिए, आपको उपयोगकर्ता को एक दुर्भावनापूर्ण ऐप इंस्टॉल करने की आवश्यकता होती है। यह हमला अलग है:हमलावर को बस आपका फ़ोन नंबर जानना होगा, और एक दुर्भावनापूर्ण मल्टीमीडिया संदेश भेजना होगा ।
आप जिस मैसेजिंग ऐप का इस्तेमाल करते हैं, उसके आधार पर आपको पता भी नहीं होगा कि मैसेज आ गया है। उदाहरण के लिए:यदि आपके एमएमएस संदेश एंड्रॉइड के Google Hangouts से गुजरते हैं, तो दुर्भावनापूर्ण संदेश सिस्टम द्वारा उपयोगकर्ता को अलर्ट करने से पहले ही खुद को नियंत्रित करने और छिपाने में सक्षम होगा कि यह आ गया है। अन्य मामलों में, जब तक संदेश वास्तव में देखा नहीं जाता है, तब तक शोषण शुरू नहीं हो सकता है, लेकिन अधिकांश उपयोगकर्ता इसे हानिरहित स्पैम टेक्स्ट या गलत नंबर के रूप में लिख देंगे।
एक बार सिस्टम के अंदर, स्टेजफ्राइट के भीतर चलने वाले कोड में स्वचालित रूप से कैमरा और माइक्रोफ़ोन, साथ ही ब्लूटूथ परिधीय, और एसडी कार्ड पर संग्रहीत किसी भी डेटा तक पहुंच होती है। यह काफी बुरा है, लेकिन (दुर्भाग्य से) यह सिर्फ शुरुआत है।
जबकि एंड्रॉइड लॉलीपॉप कई सुरक्षा सुधारों को लागू करता है, अधिकांश एंड्रॉइड डिवाइस अभी भी ओएस के पुराने संस्करण चला रहे हैं, और "विशेषाधिकार वृद्धि हमले" नामक किसी चीज़ के लिए कमजोर हैं। आम तौर पर, एंड्रॉइड ऐप्स "सैंडबॉक्स" होते हैं, जिससे उन्हें ओएस के केवल उन पहलुओं तक पहुंचने की इजाजत मिलती है जिन्हें उन्हें उपयोग करने की स्पष्ट अनुमति दी गई है। विशेषाधिकार वृद्धि हमले दुर्भावनापूर्ण कोड को Android ऑपरेटिंग सिस्टम को डिवाइस पर अधिक से अधिक पहुंच प्रदान करने के लिए "धोखा" देते हैं।
एक बार दुर्भावनापूर्ण एमएमएस ने स्टेजफ्राइट पर नियंत्रण कर लिया है, तो यह इन हमलों का उपयोग पुराने, असुरक्षित एंड्रॉइड डिवाइसों पर पूर्ण नियंत्रण लेने के लिए कर सकता है। यह डिवाइस सुरक्षा के लिए एक दुःस्वप्न परिदृश्य है। इस मुद्दे से पूरी तरह से प्रतिरक्षा केवल वे डिवाइस हैं जो Android 2.2 (Froyo) से पुराने ऑपरेटिंग सिस्टम चला रहे हैं, जो वह संस्करण है जिसने पहली बार में StageFright पेश किया था।
धीमी प्रतिक्रिया
स्टेजफ्राइट भेद्यता मूल रूप से अप्रैल में सुरक्षा शोधकर्ताओं के एक समूह, Zimperium zLabs द्वारा उजागर की गई थी। शोधकर्ताओं ने इस मुद्दे की सूचना Google को दी। Google ने निर्माताओं के लिए जल्दी से एक पैच जारी किया - हालांकि, बहुत कम डिवाइस निर्माताओं ने वास्तव में पैच को अपने डिवाइस पर धकेल दिया है। बग की खोज करने वाले शोधकर्ता जोशुआ ड्रेक का मानना है कि प्रचलन में अनुमानित एक अरब Android उपकरणों में से लगभग 950 मिलियन किसी न किसी प्रकार के हमले के प्रति संवेदनशील हैं।
नेक्सस 6 जैसे Google के अपने उपकरणों को ड्रेक के अनुसार आंशिक रूप से पैच किया गया है, हालांकि कुछ कमजोरियां बनी हुई हैं। इस विषय पर फोर्ब्स को एक ईमेल में, Google ने उपयोगकर्ताओं को आश्वस्त किया कि,
<ब्लॉककोट>"अधिकांश Android उपकरणों, सभी नए उपकरणों सहित, में कई प्रौद्योगिकियां हैं जो शोषण को और अधिक कठिन बनाने के लिए डिज़ाइन की गई हैं। Android उपकरणों में एक एप्लिकेशन सैंडबॉक्स भी शामिल होता है जिसे डिवाइस पर उपयोगकर्ता डेटा और अन्य एप्लिकेशन की सुरक्षा के लिए डिज़ाइन किया गया है,"
हालाँकि, यह ज्यादा आराम की बात नहीं है। एंड्रॉइड जेलीबीन तक, एंड्रॉइड में सैंडबॉक्सिंग अपेक्षाकृत कमजोर रही है, और कई ज्ञात कारनामे हैं जिनका उपयोग इसके आसपास करने के लिए किया जा सकता है। यह वास्तव में महत्वपूर्ण है कि निर्माता इस मुद्दे के लिए एक उचित पैच तैयार करें।
आप क्या कर सकते हैं?
दुर्भाग्य से, हार्डवेयर निर्माता इस प्रकार के महत्वपूर्ण सुरक्षा पैच को रोल आउट करने में बेहद धीमे हो सकते हैं। यह निश्चित रूप से आपके डिवाइस निर्माता के ग्राहक सहायता विभाग से संपर्क करने और पैच उपलब्ध होने के बारे में अनुमान लगाने के लायक है। सार्वजनिक दबाव शायद चीजों को गति देने में मदद करेगा।
ड्रेक के हिस्से के लिए, वह अगस्त की शुरुआत में होने वाले एक अंतरराष्ट्रीय सुरक्षा सम्मेलन, DEFCON में अपने निष्कर्षों की पूरी सीमा को प्रकट करने की योजना बना रहा है। उम्मीद है, अतिरिक्त प्रचार डिवाइस निर्माताओं को जल्द से जल्द अपडेट जारी करने के लिए प्रेरित करेगा, अब जबकि हमला सामान्य ज्ञान है।
व्यापक रूप से, यह इस बात का एक अच्छा उदाहरण है कि Android विखंडन एक ऐसा सुरक्षा दुःस्वप्न क्यों है।
IOS जैसे लॉक-डाउन इकोसिस्टम पर, इसके लिए एक पैच घंटों में निकाला जा सकता है। Android पर, विखंडन के विशाल स्तर के कारण प्रत्येक डिवाइस को गति देने में महीनों या वर्षों का समय लग सकता है। मुझे यह देखने में दिलचस्पी है कि आने वाले वर्षों में Google इन सुरक्षा-महत्वपूर्ण अपडेट को डिवाइस-निर्माताओं के हाथों से बाहर लाने के लिए कौन से समाधान पेश करता है।
क्या आप इस समस्या से प्रभावित एक Android उपयोगकर्ता हैं? आपकी गोपनीयता के बारे में चिंतित हैं? अपने विचार हमें कमेंट में बताएं!
<छोटा>छवि क्रेडिट:विकिमीडिया द्वारा बैकलिट कीबोर्ड