!['फेक आईडी' और Android सुरक्षा [अपडेट]](https://img.androidermagazine.com/img/software/771/fake-idand-android-security.jpg "'फेक आईडी' और Android सुरक्षा [अपडेट]")
विषयसूची:
आज सिक्योरिटी रिसर्च फर्म ब्लूबॉक्स - वही कंपनी जिसने तथाकथित एंड्रॉइड "मास्टर कुंजी" भेद्यता को उजागर किया है - ने बग की खोज की घोषणा की है जिस तरह से एंड्रॉइड अनुप्रयोगों को साइन करने के लिए उपयोग किए जाने वाले पहचान प्रमाणपत्रों को संभालता है। भेद्यता, जिसे ब्लूबॉक्स ने "फेक आईडी" करार दिया है, दुर्भावनापूर्ण एप्लिकेशन को वैध ऐप्स से प्रमाण पत्र के साथ खुद को संबद्ध करने की अनुमति देता है, इस प्रकार वे सामान तक पहुंच प्राप्त कर सकते हैं जिनकी उन्हें पहुंच नहीं होनी चाहिए।
इस ध्वनि की तरह सुरक्षा भेद्यता, और हम पहले से ही एक या दो अतिशयोक्तिपूर्ण सुर्खियों को आज देख चुके हैं क्योंकि यह कहानी टूट गई है। फिर भी, कोई भी बग जो ऐप्स को ऐसी चीजें करने देता है, जिन्हें वे नहीं मानते हैं, एक गंभीर समस्या है। तो चलिए संक्षेप में क्या चल रहा है, इसका एंड्रॉइड सुरक्षा के लिए क्या मतलब है, और क्या इसके बारे में चिंता करने योग्य है …
अपडेट: हमने इस लेख को Google से पुष्टि को प्रतिबिंबित करने के लिए अपडेट किया है कि प्ले स्टोर और "वेरिफाइड एप्स" फीचर दोनों को वास्तव में एफडी आईडी बग को संबोधित करने के लिए अपडेट किया गया है। इसका अर्थ है कि सक्रिय Google Android उपकरणों के विशाल बहुमत में पहले से ही इस मुद्दे से कुछ सुरक्षा है, जैसा कि लेख में बाद में चर्चा की गई है। Google का पूर्ण विवरण इस पोस्ट के अंत में पाया जा सकता है।
समस्या - डोडी प्रमाण पत्र
'फेक आईडी' एंड्रॉइड पैकेज इंस्टॉलर में एक बग से उपजी है।
ब्लूबॉक्स के अनुसार, भेद्यता Android पैकेज इंस्टॉलर में एक मुद्दे से उपजी है, ओएस का वह हिस्सा जो ऐप्स की स्थापना को संभालता है। पैकेज इंस्टॉलर स्पष्ट रूप से डिजिटल प्रमाण पत्र "चेन" की प्रामाणिकता को ठीक से सत्यापित नहीं करता है, यह दुर्भावनापूर्ण प्रमाण पत्र को यह दावा करने की अनुमति देता है कि यह एक विश्वसनीय पार्टी द्वारा जारी किया गया है। यह एक समस्या है क्योंकि कुछ डिजिटल हस्ताक्षर कुछ डिवाइस कार्यों के लिए विशेषाधिकार प्राप्त एप्लिकेशन प्रदान करते हैं। उदाहरण के लिए, एंड्रॉइड 2.2-4.3 के साथ, एडोब के हस्ताक्षर वाले ऐप्स को वेबव्यू कंटेंट तक विशेष पहुंच प्रदान की जाती है - एडोब फ्लैश सपोर्ट के लिए एक आवश्यकता जो कि दुरुपयोग का कारण बन सकती है। इसी तरह, एनएफसी पर सुरक्षित भुगतान के लिए उपयोग किए जाने वाले हार्डवेयर के लिए विशेषाधिकार प्राप्त एप्लिकेशन के हस्ताक्षर को खराब करने से एक दुर्भावनापूर्ण एप्लिकेशन को संवेदनशील वित्तीय जानकारी को रोक दिया जा सकता है।
अधिक चिंताजनक रूप से, एक दुर्भावनापूर्ण प्रमाण पत्र का उपयोग कुछ दूरस्थ डिवाइस प्रबंधन सॉफ़्टवेयर, जैसे 3LM, का उपयोग करने के लिए भी किया जा सकता है, जो कुछ निर्माताओं द्वारा उपयोग किया जाता है और एक उपकरण पर व्यापक नियंत्रण प्रदान करता है।
जैसा कि ब्लूबॉक्स के शोधकर्ता जेफ फॉरिस्टल लिखते हैं:
"एप्लिकेशन हस्ताक्षर एंड्रॉइड सुरक्षा मॉडल में एक महत्वपूर्ण भूमिका निभाते हैं। एक एप्लिकेशन के हस्ताक्षर की स्थापना होती है जो एप्लिकेशन को अपडेट कर सकता है, कौन से एप्लिकेशन इसे डेटा साझा कर सकते हैं, आदि कुछ अनुमतियाँ, जो कार्यक्षमता के लिए गेट एक्सेस के लिए उपयोग की जाती हैं, केवल उन अनुप्रयोगों द्वारा उपयोग करने योग्य हैं जिनके पास अनुप्रयोग हैं अनुमति निर्माता के रूप में एक ही हस्ताक्षर। अधिक दिलचस्प बात यह है कि कुछ मामलों में बहुत विशिष्ट हस्ताक्षर विशेष विशेषाधिकार दिए जाते हैं।"
हालांकि Adobe / webview मुद्दा Android 4.4 को प्रभावित नहीं करता है (क्योंकि वेबव्यू अब क्रोमियम पर आधारित है, जिसमें Adobe Adobe समान नहीं है), अंतर्निहित पैकेज इंस्टॉलर बग स्पष्ट रूप से किटकैट के कुछ संस्करणों को प्रभावित करता है। एंड्रॉइड सेंट्रल को दिए गए एक बयान में Google ने कहा, "इस भेद्यता के शब्द को प्राप्त करने के बाद, हमने जल्दी से एक पैच जारी किया जो एंड्रॉइड भागीदारों को वितरित किया गया था, साथ ही साथ एंड्रॉइड ओपन सोर्स प्रोजेक्ट भी।"
Google का कहना है कि जंगली में 'फेक आईडी' का कोई सबूत नहीं है।
यह देखते हुए कि ब्लूबॉक्स ने कहा है कि उसने अप्रैल में Google को सूचित किया, यह संभव है कि एंड्रॉइड 4.4.3 में किसी भी फिक्स को शामिल किया गया होगा, और संभवतः OEM से कुछ 4.4.2-आधारित सुरक्षा पैच होंगे। (इस कोड को देखें - धन्यवाद अनंत श्रीवास्तव।) ब्लूबॉक्स के अपने ऐप के साथ प्रारंभिक परीक्षण से पता चलता है कि यूरोपीय एलजी जी 3, सैमसंग गैलेक्सी एस 5 और एचटीसी वन एम 8 फेक आईडी से प्रभावित नहीं हैं। हम यह पता लगाने के लिए प्रमुख एंड्रॉइड ओईएम पर पहुंच गए हैं कि कौन से उपकरण अपडेट किए गए हैं।
फेक आईडी की बारीकियों के लिए, फ़ॉरिस्टल का कहना है कि वह लास वेगास में 2 अगस्त को ब्लैक हैट कॉन्फ्रेंस के बारे में अधिक बताएंगे। अपने बयान में, Google ने कहा कि उसने अपने प्ले स्टोर में सभी ऐप को स्कैन किया था, और कुछ ने होस्ट किया था अन्य ऐप स्टोरों में, और इस बात का कोई सबूत नहीं मिला कि वास्तविक दुनिया में शोषण का उपयोग किया जा रहा था।
समाधान - Google Play के साथ Android बग फिक्स करना
Play Services के माध्यम से, Google इस बग को अधिकांश सक्रिय Android पारिस्थितिकी तंत्र में प्रभावी रूप से लागू कर सकता है।
फेक आईडी एक गंभीर सुरक्षा भेद्यता है, जिसे यदि ठीक से लक्षित किया गया है, तो वह किसी हमलावर को गंभीर नुकसान पहुंचा सकती है। और जैसा कि अंतर्निहित बग को हाल ही में एओएसपी में संबोधित किया गया है, यह प्रकट हो सकता है कि एंड्रॉइड फोन का बड़ा हिस्सा हमला करने के लिए खुला है, और भविष्य के लिए ऐसा ही रहेगा। जैसा कि हम पहले चर्चा कर चुके हैं, अरबों या इतने सक्रिय एंड्रॉइड फोन को अपडेट करने का काम एक बहुत बड़ी चुनौती है, और "विखंडन" एक ऐसी समस्या है जो एंड्रॉइड के डीएनए में निर्मित होती है। लेकिन Google के पास इस तरह के सुरक्षा मुद्दों से निपटने के लिए एक तुरुप का पत्ता है - Google Play Services।
जिस तरह Play Services में फर्मवेयर अपडेट की आवश्यकता के बिना नई सुविधाओं और API को जोड़ा जाता है, इसका उपयोग सुरक्षा छेदों को प्लग करने के लिए भी किया जा सकता है। कुछ समय पहले Google ने Google Play Services में "वेरिफाइड ऐप्स" फीचर जोड़ा है, जिससे वे इंस्टॉल होने से पहले किसी भी ऐप को दुर्भावनापूर्ण सामग्री के लिए स्कैन कर सकते हैं। क्या अधिक है, यह डिफ़ॉल्ट रूप से चालू है। एंड्रॉइड 4.2 और उसके बाद यह सेटिंग्स> सुरक्षा के तहत रहता है; पुराने संस्करणों पर आप इसे Google सेटिंग> एप्लिकेशन सत्यापित करें के अंतर्गत पाएंगे। जैसा कि सुंदर पिचाई ने Google I / O 2014 में कहा था, 93 प्रतिशत सक्रिय उपयोगकर्ता Google Play सेवाओं के नवीनतम संस्करण में हैं। यहां तक कि हमारे प्राचीन एलजी ऑप्टिमस वू, जो एंड्रॉइड 4.0.4 आइसक्रीम सैंडविच चला रहे हैं, में मैलवेयर के खिलाफ खड़े होने के लिए प्ले सर्विसेज से "वेरिफाइड ऐप्स" विकल्प है।
Google ने एंड्रॉइड सेंट्रल को पुष्टि की है कि उपयोगकर्ताओं को इस समस्या से बचाने के लिए "सत्यापित ऐप्स" सुविधा और Google Play को अपडेट किया गया है। वास्तव में, इस तरह के ऐप-स्तरीय सुरक्षा कीड़े ठीक उसी तरह हैं जैसे "सत्यापित ऐप्स" सुविधा से निपटने के लिए डिज़ाइन किया गया है। यह Google Play Services के अप-टू-डेट संस्करण को चलाने वाले किसी भी डिवाइस पर फेक आईडी के प्रभाव को सीमित करता है - सभी एंड्रॉइड डिवाइसेस के असुरक्षित होने से दूर, Google की प्ले सर्विसेज के माध्यम से फेक आईडी को संबोधित करने की कार्रवाई ने इस मुद्दे को सार्वजनिक करने से पहले ही इसे प्रभावी ढंग से न्यूट्रल कर दिया। ज्ञान।
ब्लैक हैट पर बग की जानकारी उपलब्ध होने पर हम और अधिक जानकारी प्राप्त करेंगे। लेकिन चूंकि Google का ऐप वेरिफ़ायर और प्ले स्टोर फ़ेक आईडी का उपयोग करके ऐप पकड़ सकता है, ब्लूबॉक्स का दावा है कि "जनवरी 2010 के बाद से सभी एंड्रॉइड उपयोगकर्ता" जोखिम में अतिरंजित लगते हैं। (हालांकि माना जाता है कि एंड्रॉइड के गैर-Google-अनुमोदित संस्करण के साथ एक उपकरण चलाने वाले उपयोगकर्ताओं को एक चिपचिपी स्थिति में छोड़ दिया जाता है।)
गेटकीपर के रूप में प्ले सर्विसेज को कार्य करना एक स्टॉपगैप समाधान है, लेकिन यह एक बहुत प्रभावी है।
इसके बावजूद, यह तथ्य कि अप्रैल से Google फेक आईडी के बारे में जानता है, यह अत्यधिक संभावना नहीं है कि शोषण का उपयोग करने वाला कोई भी ऐप इसे भविष्य में प्ले स्टोर पर बना देगा। अधिकांश एंड्रॉइड सुरक्षा मुद्दों की तरह, फेक आईडी से निपटने का सबसे आसान और सबसे प्रभावी तरीका यह है कि आप अपने ऐप्स कहां से प्राप्त करें, इसके बारे में स्मार्ट रहें।
सुनिश्चित करने के लिए, शोषण होने से भेद्यता को रोकना पूरी तरह से इसे खत्म करने के समान नहीं है। एक आदर्श दुनिया में Google हर एंड्रॉइड डिवाइस पर एक ओवर-द-एयर अपडेट को पुश करने में सक्षम होगा और हमेशा के लिए समस्या को खत्म कर देगा, जैसा कि Apple करता है। गेटकीपर्स के रूप में प्ले सर्विसेज और प्ले स्टोर एक्ट करना एक स्टॉपगैप समाधान है, लेकिन एंड्रॉइड इकोसिस्टम के आकार और विशाल प्रकृति को देखते हुए, यह एक बहुत प्रभावी है।
यह ठीक नहीं है कि कई निर्माताओं को अभी भी उपकरणों के लिए महत्वपूर्ण सुरक्षा अद्यतनों को पुश करने के लिए बहुत लंबा रास्ता तय करना पड़ता है, विशेष रूप से कम-ज्ञात वाले, जैसे कि इस मुद्दे को उजागर करना। लेकिन यह बहुत कुछ नहीं से बेहतर है।
सुरक्षा मुद्दों के बारे में जागरूक होना महत्वपूर्ण है, खासकर यदि आप एक तकनीकी-प्रेमी एंड्रॉइड उपयोगकर्ता हैं - जिस तरह के व्यक्ति नियमित रूप से मदद के लिए मुड़ते हैं, जब उनके फोन में कुछ गलत होता है। लेकिन चीजों को परिप्रेक्ष्य में रखना भी एक अच्छा विचार है, और याद रखें कि यह सिर्फ महत्वपूर्ण भेद्यता नहीं है, बल्कि संभावित हमला वेक्टर भी है। Google द्वारा नियंत्रित पारिस्थितिकी तंत्र के मामले में, Play Store और Play Services दो शक्तिशाली उपकरण हैं जिनके साथ Google मैलवेयर को संभाल सकता है।
इसलिए सुरक्षित रहें और स्मार्ट रहें। हम आपको प्रमुख Android OEM से फ़ेक आईडी पर किसी भी अन्य जानकारी के साथ पोस्ट करते रहेंगे।
अपडेट: Google के प्रवक्ता ने निम्नलिखित कथन के साथ Android सेंट्रल प्रदान किया है:
"हम ब्लूबॉक्स को जिम्मेदारी से देखते हुए इस भेद्यता की रिपोर्ट करने की जिम्मेदारी देते हैं। थर्ड पार्टी रिसर्च उन तरीकों में से एक है जो एंड्रॉइड उपयोगकर्ताओं के लिए अधिक मजबूत बनाए जाते हैं। इस भेद्यता के शब्द प्राप्त करने के बाद, हमने जल्दी से एक पैच जारी किया जो एंड्रॉइड भागीदारों को वितरित किया गया था, साथ ही साथ AOSP भी। इस मुद्दे से उपयोगकर्ताओं को बचाने के लिए Google Play और सत्यापित ऐप्स भी बढ़ाए गए हैं। इस समय, हमने Google Play पर सबमिट किए गए सभी एप्लिकेशन को स्कैन कर लिया है और साथ ही उन Google ने Google Play के बाहर से समीक्षा की है और हमने प्रयास के कोई सबूत नहीं देखे हैं इस भेद्यता का शोषण। ”
सोनी ने हमें यह भी बताया है कि यह अपने उपकरणों के लिए फेक आईडी को ठीक करने पर जोर दे रहा है।
