'फेक आईडी' और Android सुरक्षा [अपडेट किया गया]

आज सुरक्षा अनुसंधान फर्म ब्लूबॉक्स - वही कंपनी जिसने तथाकथित को उजागर किया Android "मास्टर कुंजी" भेद्यता - जिस तरह से एंड्रॉइड एप्लिकेशन को साइन करने के लिए उपयोग किए जाने वाले पहचान प्रमाणपत्रों को संभालता है, बग की खोज की घोषणा की है। भेद्यता, जिसे ब्लूबॉक्स ने "फेक आईडी" करार दिया है, दुर्भावनापूर्ण एप्लिकेशन को वैध ऐप्स से प्रमाण पत्र के साथ खुद को संबद्ध करने की अनुमति देता है, इस प्रकार वे उन तक पहुंच प्राप्त नहीं कर सकते हैं जिनके पास पहुंच नहीं होनी चाहिए।

इस ध्वनि की तरह सुरक्षा भेद्यता, और हम पहले से ही एक या दो अतिशयोक्तिपूर्ण सुर्खियों को आज देख चुके हैं क्योंकि यह कहानी टूट गई है। फिर भी, कोई भी बग जो ऐप्स को ऐसी चीजें करने देता है, जिन्हें वे नहीं मानते हैं, एक गंभीर समस्या है। तो चलो संक्षेप में क्या चल रहा है, यह एंड्रॉइड सुरक्षा के लिए क्या मतलब है, और क्या इसके बारे में चिंता करने योग्य है ...

अपडेट करें: हमने इस लेख को Google से पुष्टि को दर्शाने के लिए अपडेट किया है कि प्ले स्टोर और "वेरिफाइड ऐप्स" फ़ीचर दोनों को वास्तव में फेक आईडी बग को संबोधित करने के लिए अपडेट किया गया है। इसका मतलब है कि सक्रिय Google Android उपकरणों के विशाल बहुमत में पहले से ही इस मुद्दे से कुछ सुरक्षा है, जैसा कि लेख में बाद में चर्चा की गई है। Google का पूर्ण विवरण इस पोस्ट के अंत में पाया जा सकता है।

समस्या - डोडी प्रमाण पत्र

'फेक आईडी' एंड्रॉइड पैकेज इंस्टॉलर में एक बग से उपजा है।

ब्लूबॉक्स के अनुसार, भेद्यता Android पैकेज इंस्टॉलर में एक मुद्दे से उपजी है, ओएस का वह हिस्सा जो ऐप्स की स्थापना को संभालता है। पैकेज इंस्टॉलर स्पष्ट रूप से डिजिटल प्रमाण पत्र "चेन" की प्रामाणिकता को ठीक से सत्यापित नहीं करता है, यह दुर्भावनापूर्ण प्रमाण पत्र को यह दावा करने की अनुमति देता है कि यह एक विश्वसनीय पार्टी द्वारा जारी किया गया है। यह एक समस्या है क्योंकि कुछ डिजिटल हस्ताक्षर कुछ डिवाइस कार्यों के लिए विशेषाधिकार प्राप्त एप्लिकेशन प्रदान करते हैं। उदाहरण के लिए, एंड्रॉइड 2.2-4.3 के साथ, एडोब के हस्ताक्षर वाले ऐप्स को वेबव्यू कंटेंट तक विशेष पहुंच प्रदान की जाती है - एडोब फ्लैश सपोर्ट के लिए एक आवश्यकता जो कि दुरुपयोग का कारण बन सकती है। इसी तरह, एनएफसी पर सुरक्षित भुगतान के लिए उपयोग किए जाने वाले हार्डवेयर के लिए विशेषाधिकार प्राप्त एप्लिकेशन के हस्ताक्षर को खराब करने से एक दुर्भावनापूर्ण एप्लिकेशन को संवेदनशील वित्तीय जानकारी को रोक दिया जा सकता है।

अधिक चिंता की बात यह है कि एक दुर्भावनापूर्ण प्रमाण पत्र का उपयोग कुछ दूरस्थ उपकरण लगाने के लिए भी किया जा सकता है प्रबंधन सॉफ्टवेयर, जैसे कि 3LM, जो कुछ निर्माताओं द्वारा उपयोग किया जाता है और a पर व्यापक नियंत्रण प्रदान करता है डिवाइस।

जैसा कि ब्लूबॉक्स के शोधकर्ता जेफ फॉरिस्टल लिखते हैं:

"एप्लिकेशन हस्ताक्षर Android सुरक्षा मॉडल में एक महत्वपूर्ण भूमिका निभाते हैं। एक एप्लिकेशन के हस्ताक्षर स्थापित करता है कि कौन एप्लिकेशन को अपडेट कर सकता है, कौन से एप्लिकेशन इसे साझा कर सकते हैं [sic] डेटा, आदि। कुछ अनुमतियाँ, जिनका उपयोग कार्यक्षमता के लिए गेट एक्सेस के लिए किया जाता है, केवल उन अनुप्रयोगों द्वारा उपयोग करने योग्य हैं जिनके पास अनुमति निर्माता के समान हस्ताक्षर हैं। अधिक दिलचस्प बात यह है कि कुछ मामलों में बहुत विशिष्ट हस्ताक्षर विशेष विशेषाधिकार दिए जाते हैं। "

जबकि एडोब / वेबव्यू मुद्दा Android 4.4 को प्रभावित नहीं करता है (क्योंकि वेबव्यू अब क्रोमियम पर आधारित है, जो कि एक ही एडोब हुक नहीं है), अंतर्निहित पैकेज इंस्टॉलर बग स्पष्ट रूप से कुछ को प्रभावित करना जारी रखता है के संस्करण किट कैट. को दिए गए एक बयान में एंड्रॉइड सेंट्रल Google ने कहा, "इस भेद्यता का शब्द प्राप्त करने के बाद, हमने जल्दी से एक पैच जारी किया जो Android भागीदारों को वितरित किया गया था, साथ ही साथ Android ओपन सोर्स प्रोजेक्ट को भी।"

Google का कहना है कि जंगली में 'फेक आईडी' का कोई सबूत नहीं है।

यह देखते हुए कि ब्लूबॉक्स ने कहा है कि उसने अप्रैल में Google को सूचित किया, यह संभव है कि एंड्रॉइड 4.4.3 में किसी भी फिक्स को शामिल किया गया होगा, और संभवतः OEM से कुछ 4.4.2-आधारित सुरक्षा पैच होंगे। (देख यह कोड प्रतिबद्ध है - धन्यवाद अनंत श्रीवास्तव।) ब्लूबॉक्स के अपने ऐप के साथ प्रारंभिक परीक्षण से पता चलता है कि यूरोपीय एलजी जी 3, सैमसंग गैलेक्सी एस 5 और एचटीसी वन एम 8 फेक आईडी से प्रभावित नहीं हैं। हम यह पता लगाने के लिए प्रमुख एंड्रॉइड ओईएम पर पहुंच गए हैं कि कौन से उपकरण अपडेट किए गए हैं।

फ़ेक आईडी की बारीकियों के बारे में, फ़ॉरिस्टल का कहना है कि वह लॉस एंजिल्स में ब्लैक हैट कॉन्फ्रेंस के बारे में अधिक जानकारी प्राप्त करेंगे। 2. Google ने अपने बयान में कहा कि उसने अपने प्ले स्टोर के सभी ऐप को स्कैन कर लिया था, और कुछ अन्य ऐप स्टोर में होस्ट किए गए थे, और उन्हें इस बात का कोई सबूत नहीं मिला कि वास्तविक दुनिया में इसका इस्तेमाल किया जा रहा था।

समाधान - Google Play के साथ Android बग फिक्स करना

Play Services के माध्यम से, Google इस बग को अधिकांश सक्रिय एंड्रॉइड पारिस्थितिकी तंत्र में प्रभावी रूप से लागू कर सकता है।

फेक आईडी एक गंभीर सुरक्षा भेद्यता है जिसे यदि ठीक से लक्षित किया गया है तो यह हमलावर को गंभीर नुकसान पहुंचा सकता है। और जैसा कि अंतर्निहित बग को हाल ही में AOSP में संबोधित किया गया है, यह प्रकट हो सकता है कि एंड्रॉइड फोन का बड़ा हिस्सा हमला करने के लिए खुला है, और भविष्य के लिए ऐसा रहेगा। जैसा कि हमने पहले चर्चा की है, अरब या इतने सक्रिय एंड्रॉइड फोन को अपडेट करने का कार्य एक बहुत बड़ी चुनौती है, और "विखंडन" एक समस्या है जो एंड्रॉइड के डीएनए में निर्मित है। लेकिन इस तरह के सुरक्षा मुद्दों से निपटने के लिए Google के पास एक तुरुप का पत्ता है - Google Play Services।

बस प्ले सर्विसेज के रूप में फर्मवेयर अपडेट की आवश्यकता के बिना नई सुविधाओं और एपीआई को जोड़ता है, यह भी सुरक्षा छेद प्लग करने के लिए इस्तेमाल किया जा सकता है। कुछ समय पहले Google ने Google Play Services में "वेरिफाइड ऐप्स" फीचर जोड़ा है, जिससे वे इंस्टॉल होने से पहले किसी भी ऐप को दुर्भावनापूर्ण सामग्री के लिए स्कैन कर सकते हैं। क्या अधिक है, यह डिफ़ॉल्ट रूप से चालू है। एंड्रॉइड 4.2 और उसके बाद यह सेटिंग्स> सुरक्षा के तहत रहता है; पुराने संस्करणों पर आपको Google सेटिंग> ऐप्स सत्यापित करें के अंतर्गत मिल जाएगा। जैसा कि सुंदर पिचाई ने कहा था Google I / O 2014, 93 प्रतिशत सक्रिय उपयोगकर्ता Google Play सेवाओं के नवीनतम संस्करण में हैं। यहां तक ​​कि हमारे प्राचीन एलजी ऑप्टिमस वु, एंड्रॉइड 4.0.4 चला रहे हैं आइसक्रीम सैंडविच, मालवेयर से बचाव के लिए प्ले सर्विसेज से "वेरिफाइड ऐप्स" विकल्प है।

Google ने पुष्टि की है एंड्रॉइड सेंट्रल उपयोगकर्ताओं को इस समस्या से बचाने के लिए "सत्यापित ऐप्स" सुविधा और Google Play अपडेट किया गया है। वास्तव में, इस तरह के ऐप-स्तरीय सुरक्षा कीड़े वास्तव में "सत्यापित ऐप्स" सुविधा से निपटने के लिए डिज़ाइन किए गए हैं। यह Google Play Services के अप-टू-डेट संस्करण चलाने वाले किसी भी डिवाइस पर फेक आईडी के प्रभाव को काफी हद तक सीमित करता है सब एंड्रॉइड डिवाइस कमजोर हो रहे हैं, प्ले सर्विसेज के माध्यम से फेक आईडी को संबोधित करने की Google की कार्रवाई ने प्रभावी रूप से इस मुद्दे को सार्वजनिक ज्ञान बनने से पहले ही रोक दिया।

ब्लैक हैट पर बग की जानकारी उपलब्ध होने पर हम और अधिक जानकारी प्राप्त करेंगे। लेकिन चूंकि Google का ऐप वेरिफ़ायर और प्ले स्टोर फ़ेक आईडी का उपयोग करके ऐप पकड़ सकता है, ब्लूबॉक्स का दावा है कि "जनवरी 2010 से सभी एंड्रॉइड उपयोगकर्ता" जोखिम में हैं, अतिरंजित लगते हैं। (हालांकि माना जाता है कि एंड्रॉइड के गैर-Google-अनुमोदित संस्करण के साथ एक उपकरण चलाने वाले उपयोगकर्ताओं को एक चिपचिपी स्थिति में छोड़ दिया जाता है।)

भले ही, यह तथ्य कि अप्रैल के बाद से Google को फेक आईडी के बारे में पता है, यह अत्यधिक संभावना नहीं है कि शोषण का उपयोग करने वाला कोई भी ऐप इसे भविष्य में प्ले स्टोर पर बना देगा। अधिकांश एंड्रॉइड सुरक्षा मुद्दों की तरह, फेक आईडी से निपटने का सबसे आसान और सबसे प्रभावी तरीका यह है कि आप अपने ऐप्स कहां से प्राप्त करें, इसके बारे में स्मार्ट रहें।

सुनिश्चित करने के लिए, शोषण से एक भेद्यता को रोकना इसे पूरी तरह से समाप्त करने के समान नहीं है। एक आदर्श दुनिया में Google हर एंड्रॉइड डिवाइस पर एक ओवर-द-एयर अपडेट को पुश करने में सक्षम होगा और हमेशा के लिए समस्या को खत्म कर देगा, जैसा कि Apple करता है। गेटकीपर्स के रूप में प्ले सर्विसेज और प्ले स्टोर एक्ट करना एक स्टॉपगैप सॉल्यूशन है, लेकिन एंड्रॉइड इकोसिस्टम के आकार और विशाल प्रकृति को देखते हुए, यह एक बहुत प्रभावी है।

यह ठीक नहीं है कि कई निर्माताओं को अभी भी डिवाइसों के लिए महत्वपूर्ण सुरक्षा अपडेट को पुश करने के लिए बहुत लंबा रास्ता तय करना पड़ता है, विशेष रूप से कम-ज्ञात वाले, जैसे कि इस मुद्दे को उजागर करना। लेकिन यह ए बहुत कुछ नहीं से बेहतर।

सुरक्षा मुद्दों से अवगत होना महत्वपूर्ण है, खासकर यदि आप एक तकनीक-प्रेमी एंड्रॉइड उपयोगकर्ता हैं - तो नियमित रूप से उस व्यक्ति की मदद के लिए जब कोई चीज उनके फोन के साथ कुछ गलत हो जाती है। लेकिन चीजों को परिप्रेक्ष्य में रखना भी एक अच्छा विचार है, और याद रखें कि यह सिर्फ महत्वपूर्ण भेद्यता नहीं है, बल्कि संभावित हमला वेक्टर भी है। Google द्वारा नियंत्रित पारिस्थितिकी तंत्र के मामले में, Play Store और Play Services दो शक्तिशाली उपकरण हैं जिनके साथ Google मैलवेयर को संभाल सकता है।

इसलिए सुरक्षित रहें और स्मार्ट रहें। हम आपको प्रमुख Android OEMs से फ़ेक आईडी पर आगे की जानकारी के साथ पोस्ट करते रहेंगे।

अपडेट करें: एक Google प्रवक्ता ने प्रदान किया है एंड्रॉइड सेंट्रल निम्नलिखित कथन के साथ:

"हम ब्लूबॉक्स की सराहना करते हैं जिम्मेदारी से हमें इस भेद्यता की रिपोर्ट करना; थर्ड पार्टी रिसर्च उन तरीकों में से एक है जो एंड्रॉइड उपयोगकर्ताओं के लिए मजबूत बनाया गया है। इस भेद्यता के शब्द को प्राप्त करने के बाद, हमने जल्दी से एक पैच जारी किया जो एंड्रॉइड भागीदारों को वितरित किया गया था, साथ ही साथ एओएसपी को भी। उपयोगकर्ताओं को इस समस्या से बचाने के लिए Google Play और Verify Apps को भी बढ़ाया गया है। इस समय, हमने Google Play के साथ-साथ उन Google के लिए सबमिट किए गए सभी एप्लिकेशन स्कैन किए हैं Google Play के बाहर से समीक्षा की गई और हमने इसके शोषण के प्रयास का कोई सबूत नहीं देखा है भेद्यता।"

सोनी ने हमें यह भी बताया है कि यह अपने उपकरणों के लिए फेक आईडी को ठीक करने पर जोर दे रहा है।