जुलाई 2015 में, सुरक्षा कंपनी Zimperium ने घोषणा की कि उसने एंड्रॉइड ऑपरेटिंग सिस्टम के अंदर एक भेद्यता का "गेंडा" खोजा था। अगस्त की शुरुआत में ब्लैकहैट सम्मेलन में अधिक विवरण सार्वजनिक रूप से प्रकट किए गए थे - लेकिन सुर्खियों से पहले नहीं यह घोषणा करते हुए कि लगभग एक बिलियन Android उपकरणों को संभावित रूप से अपने उपयोगकर्ताओं के बिना भी लिया जा सकता है यह जानकर।
तो "स्टेजफ्राइट" क्या है? और क्या आपको इसके बारे में चिंता करने की ज़रूरत है?
अधिक जानकारी जारी होने पर हम इस पोस्ट को लगातार अपडेट कर रहे हैं। यहां हम जानते हैं कि आपको क्या पता है, और आपको क्या जानना चाहिए।
स्टेजफ्राइट क्या है?
"स्टेजफ्राइट" एक संभावित कारनामे को दिया जाने वाला उपनाम है जो एंड्रॉइड ऑपरेटिंग सिस्टम के अंदर काफी गहरा रहता है। सार यह है कि MMS (पाठ संदेश) के माध्यम से भेजा गया वीडियो सैद्धांतिक रूप से हमले के एवेन्यू के रूप में उपयोग किया जा सकता है libStageFright तंत्र (इस प्रकार "स्टेजफ्राइट" नाम), जो एंड्रॉइड प्रक्रिया वीडियो फ़ाइलों में मदद करता है। कई टेक्स्ट मैसेजिंग ऐप - Google के Hangouts ऐप का विशेष रूप से उल्लेख किया गया था - स्वचालित रूप से उस वीडियो को प्रोसेस करना जैसे ही आप संदेश खोलते हैं, देखने के लिए तैयार है, और इसलिए सैद्धांतिक रूप से हमला आपके जानने के बिना भी हो सकता है यह।
वेरिज़ॉन नई असीमित लाइनों पर $ 10 / मो के लिए पिक्सेल 4 ए की पेशकश कर रहा है
इसलिये libStageFright एंड्रॉइड 2.2 पर वापस, लाखों फोन में यह त्रुटिपूर्ण लाइब्रेरी है।
अगस्त 17-18: एक्सप्लॉइट बने रहे?
जिस तरह Google ने अपने Nexus लाइन, Exodus फर्म के लिए अपडेट रोल आउट करना शुरू किया एक ब्लॉग पोस्ट प्रकाशित किया स्नार्कली ने कहा कि कम से कम एक शोषण अप्रभावित रहा, जिसका अर्थ है कि Google ने कोड के साथ खराब किया। यूके प्रकाशन रजिस्टर, में विडंबना से लिखित टुकड़ाने कहा कि रैपिड 7 के एक इंजीनियर ने कहा कि अगला फिक्स सितंबर के सुरक्षा अपडेट में आएगा - नए मासिक सुरक्षा पैचिंग प्रक्रिया का हिस्सा।
Google, अपने हिस्से के लिए, अभी तक सार्वजनिक रूप से इस नवीनतम दावे को संबोधित नहीं कर पाया है।
इस एक के लिए किसी भी अन्य विवरण के अभाव में, हम यह मानने के लिए इच्छुक हैं कि इससे भी बदतर हम वापस वहीं हैं जहाँ हमने शुरू किया था - कि वहाँ हैं libStageFight में खामियां, लेकिन सुरक्षा की अन्य परतें हैं जो वास्तव में उपकरणों की संभावना को कम करना चाहिए फायदा उठाया।
एक अगस्त 18. ट्रेंड माइक्रो एक ब्लॉग पोस्ट प्रकाशित किया libStageFright में एक और दोष पर। इसने कहा कि इस शोषण का कोई सबूत नहीं है कि वास्तव में इसका इस्तेमाल किया जा रहा है, और यह कि Google पैच को Android ओपन सोर्स प्रोजेक्ट में अगस्त को प्रकाशित किया। 1.
अगस्त के रूप में नई स्टेजफ्रंट विवरण 5
लास वेगास में ब्लैकहैट सम्मेलन के संयोजन में - जिसमें स्टेजफ्राइट भेद्यता के अधिक विवरण थे सार्वजनिक रूप से खुलासा - Google ने विशेष रूप से स्थिति को संबोधित किया, एंड्रॉइड सुरक्षा के लिए मुख्य अभियंता एड्रियन लुडविग के साथ कह एनपीआर "वर्तमान में, 90 प्रतिशत Android उपकरणों में ASLR सक्षम नामक एक तकनीक है, जो उपयोगकर्ताओं को समस्या से बचाता है।"
यह "900 मिलियन एंड्रॉइड डिवाइस असुरक्षित हैं" लाइन के साथ बाधाओं पर बहुत अधिक है जो हमने पढ़ा है। जब हम शब्दों और युद्ध की संख्या के बीच में नहीं जा रहे हैं, तो लुडविग क्या कह रहा था कि एंड्रॉइड 4.0 या उच्चतर चलाने वाले उपकरण - यह सभी सक्रिय उपकरणों का लगभग 95 प्रतिशत है Google सेवाओं के साथ - में निर्मित एक बफर अतिप्रवाह हमले से सुरक्षा है।
ASLR (एddress एसगति एलayout आरandomization) एक विधि है जो किसी हमलावर को उस फ़ंक्शन को खोजने के लिए मज़बूती से रखती है या वह प्रक्रिया की मेमोरी एड्रेस स्थानों की यादृच्छिक व्यवस्था द्वारा शोषण करना चाहती है। ASLR को जून 2005 से डिफ़ॉल्ट लिनक्स कर्नेल में सक्षम किया गया है, और संस्करण 4.0 के साथ Android में जोड़ा गया है (आइसक्रीम सैंडविच).
यह कैसे एक कौर के लिए है?
इसका मतलब यह है कि किसी प्रोग्राम या सेवा के प्रमुख क्षेत्र हर बार रैम में एक ही स्थान पर नहीं रखे जाते हैं। बेतरतीब ढंग से चीजों को मेमोरी में डालने का मतलब है कि किसी भी हमलावर को यह अनुमान लगाना होगा कि वे उस डेटा को कहां देखना चाहते हैं जिसका वे दोहन करना चाहते हैं।
यह एक सही समाधान नहीं है, और जबकि एक सामान्य सुरक्षा तंत्र अच्छा है, हम अभी भी ज्ञात कारनामों के खिलाफ प्रत्यक्ष पैच की आवश्यकता है जब वे उत्पन्न होते हैं। Google, सैमसंग (1), (2) और अल्काटेल ने स्टेजफ्राइट के लिए एक प्रत्यक्ष पैच की घोषणा की है, और सोनी, एचटीसी और एलजी का कहना है कि वे अगस्त में अपडेट पैच जारी करेंगे।
यह शोषण किसने पाया?
ब्लैकहैट सम्मेलन में अपनी वार्षिक पार्टी के लिए घोषणा के तहत मोबाइल सुरक्षा फर्म जिम्पेरियम द्वारा 21 जुलाई को शोषण की घोषणा की गई थी। हां, आपने उसे सही पढ़ा है। यह "सभी Android कमजोरियों की माँ," के रूप में Zimperium इसे डालता है, था की घोषणा की 21 जुलाई (एक सप्ताह पहले किसी ने भी देखभाल करने का फैसला किया था, जाहिरा तौर पर), और कुछ ही शब्दों में इससे भी बड़ा बम धमाका हुआ "6 अगस्त की शाम को, Zimperium रॉक करेगा वेगास पार्टी का दृश्य! "और आप जानते हैं कि यह एक रैगर बनने जा रहा है क्योंकि यह" हमारी पसंदीदा वेगास के लिए हमारी वार्षिक पार्टी है, "पूरी तरह से एक रॉकिन हैशटैग के साथ सब कुछ।
यह शोषण कितना व्यापक है?
फिर, में दोष के साथ उपकरणों की संख्या libStageFright पुस्तकालय स्वयं बहुत विशाल है, क्योंकि यह ओएस में ही है। लेकिन जैसा कि Google ने कई बार उल्लेख किया है, वहाँ अन्य तरीके हैं जो आपके डिवाइस की रक्षा करना चाहिए। इसे परतों में सुरक्षा के रूप में सोचें।
तो मुझे स्टेजफ्रंट की चिंता करनी चाहिए या नहीं?
अच्छी खबर यह है कि जिस शोधकर्ता ने स्टेजफ्राइट में इस दोष की खोज की थी "वह यह नहीं मानता है कि जंगली में हैकर हैं इसका शोषण करना। "तो यह बहुत बुरी बात है कि वास्तव में किसी के खिलाफ वास्तव में किसी का उपयोग नहीं किया गया है, कम से कम इस एक के अनुसार।" व्यक्ति। और, फिर से, Google कहता है कि यदि आप Android 4.0 या इसके बाद के संस्करण का उपयोग कर रहे हैं, तो आप शायद ठीक होने जा रहे हैं।
इसका मतलब यह नहीं है कि यह एक बुरा संभावित शोषण नहीं है। यह है। और यह आगे निर्माता और वाहक पारिस्थितिकी तंत्र के माध्यम से बाहर अद्यतन प्राप्त करने की कठिनाइयों पर प्रकाश डालता है। दूसरी ओर, यह शोषण के लिए एक संभावित एवेन्यू है जो जाहिरा तौर पर एंड्रॉइड 2.2 के बाद से आसपास रहा है - या मूल रूप से पिछले पांच वर्षों से। वह या तो आपको अपनी बात के आधार पर एक टिक टाइम बम या सौम्य सिस्ट बनाता है।
और इसके हिस्से के लिए, Google ने जुलाई में दोहराया एंड्रॉइड सेंट्रल उपयोगकर्ताओं की सुरक्षा के लिए कई तंत्र हैं।
हम जोशुआ ड्रेक को उनके योगदान के लिए धन्यवाद देते हैं। एंड्रॉइड उपयोगकर्ताओं की सुरक्षा हमारे लिए अत्यंत महत्वपूर्ण है और इसलिए हमने जल्दी से जवाब दिया और साझेदारों को पहले ही पैच प्रदान कर दिए गए हैं जो किसी भी डिवाइस पर लागू किया जा सकता है।
सभी नए उपकरणों सहित अधिकांश एंड्रॉइड डिवाइसों में कई प्रौद्योगिकियां हैं जो शोषण को और अधिक कठिन बनाने के लिए डिज़ाइन की गई हैं। एंड्रॉइड डिवाइस में उपयोगकर्ता डेटा और डिवाइस पर अन्य एप्लिकेशन की सुरक्षा के लिए डिज़ाइन किया गया एप्लिकेशन सैंडबॉक्स भी शामिल है।
स्टेजफ्राइट को ठीक करने के अपडेट के बारे में क्या?
हम इसे सही मायने में पैच करने के लिए सिस्टम अपडेट की आवश्यकता करने जा रहे हैं। अपने नए में "Android सुरक्षा समूह" एक अगस्त में 12 बुलेटिन, Google "नेक्सस सुरक्षा बुलेटिन" जारी किया इसके अंत से चीजों का विवरण। कई सीवीई (सामान्य कमजोरियाँ और एक्सपोज़र) पर विवरण हैं, जब साझेदारों को सूचित किया गया था (जैसे कि 10 से अधिक के लिए, जल्दी) एक), जो एंड्रॉइड फ़ीचर्ड फ़िक्सेस का निर्माण करता है (Android 5.1.1, बिल्ड LMY48I) और कोई अन्य शमन करने वाले कारक (उपरोक्त ASLR मेमोरी) योजना)।
Google ने यह भी कहा कि उसने अपने Hangouts और मैसेंजर ऐप्स को अपडेट किया है ताकि वे स्वचालित रूप से न हों पृष्ठभूमि में वीडियो संदेशों को संसाधित करें "ताकि मीडिया स्वचालित रूप से मध्यस्थ के पास न जाए संसाधित करते हैं। "
बुरी खबर यह है कि ज्यादातर लोग सिस्टम अपडेट को आगे बढ़ाने के लिए निर्माताओं और वाहकों को इंतजार करना पड़ रहा है। लेकिन, फिर से - जबकि हम 900 मिलियन कमजोर फोन की तरह कुछ बात कर रहे हैं, हम भी बात कर रहे हैं शून्य शोषण के ज्ञात मामले। वे बहुत अच्छे हैं।
एचटीसी ने कहा है कि यहां से अपडेट होने पर इसमें सुधार होगा। और CyanogenMod अब उन्हें भी शामिल कर रहा है.
मोटोरोला अपने सभी वर्तमान पीढ़ी के फोन - मोटो ई से नवीनतम मोटो एक्स (और बीच में सब कुछ) कहता है पैच कर दिया जाएगा, जो कोड 10 अगस्त से वाहकों में जा रहा है।
अगस्त को 5, Google ने Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 और Nexus 10 के लिए नए सिस्टम इमेज जारी किए। Google ने यह भी घोषणा की कि वह जारी करेगा नेक्सस लाइन के लिए मासिक सुरक्षा अद्यतन नेक्सस लाइन के लिए। (दूसरा सार्वजनिक रूप से जारी किया गया एम पूर्वावलोकन बिल्ड पहले से ही पैच किए गए प्रतीत होते हैं।)
और जबकि उन्होंने स्टेजफ्राइट शोषण का नाम Google के एड्रियन लुडविग के नाम पर नहीं रखा था इससे पहले Google+ पर पहले से ही सामान्य तौर पर कारनामों और सुरक्षा को संबोधित किया गया था, फिर से हमें कई परतों की याद दिलाता है जो उपयोगकर्ताओं की सुरक्षा में जाती हैं। वह लिखता है:
सामान्य, गलत धारणा है कि किसी भी सॉफ्टवेयर बग को सुरक्षा शोषण में बदल दिया जा सकता है। वास्तव में, अधिकांश बग शोषक नहीं हैं और उन बाधाओं को सुधारने के लिए एंड्रॉइड ने कई काम किए हैं। हमने पिछले 4 वर्षों में एक प्रकार की बग - मेमोरी भ्रष्टाचार बग पर केंद्रित प्रौद्योगिकियों में भारी निवेश किया है - और उन बगों का दोहन करने के लिए और अधिक कठिन बनाने की कोशिश कर रहे हैं।
यह कैसे काम करता है, इस बारे में अधिक जानकारी के लिए, हमारे पढ़ें Google के लुडविग के साथ सुरक्षा पर प्रश्नोत्तर.
स्टेजफाइट डिटेक्टर ऐप
हम वास्तव में "डिटेक्टर" ऐप का उपयोग करने के लिए बिंदु नहीं देखते हैं कि क्या आपका फोन स्टेजफ्राइट शोषण के लिए असुरक्षित है। लेकिन अगर आपको चाहिए, तो कुछ उपलब्ध हैं।
- लुकआउट मोबाइल स्टेजफ्राइट डिटेक्टर
- जिम्परियम स्टेजफ्राइट डिटेक्टर
क्या आपने इस सप्ताह के एंड्रॉइड सेंट्रल पॉडकास्ट के बारे में सुना है?
हर हफ्ते, एंड्रॉइड सेंट्रल पॉडकास्ट आपको परिचित सह-मेजबान और विशेष मेहमानों के साथ नवीनतम तकनीक समाचार, विश्लेषण और गर्म लेता है।
- पॉकेट कास्ट में सदस्यता लें: ऑडियो
- Spotify में सदस्यता लें: ऑडियो
- ITunes में सदस्यता लें: ऑडियो
हम अपने लिंक का उपयोग करके खरीदारी के लिए कमीशन कमा सकते हैं। और अधिक जानें.
ये सबसे अच्छे वायरलेस ईयरबड्स हैं जिन्हें आप हर कीमत पर खरीद सकते हैं!
सबसे अच्छा वायरलेस ईयरबड आरामदायक, शानदार ध्वनि, बहुत अधिक लागत नहीं है, और आसानी से जेब में फिट होते हैं।
PS5 के बारे में आपको जो कुछ भी जानना है: रिलीज की तारीख, मूल्य, और बहुत कुछ।
सोनी ने आधिकारिक तौर पर पुष्टि की है कि यह PlayStation 5 पर काम कर रहा है। यहां हम सब कुछ जानते हैं जो इसके बारे में अब तक जानते हैं।
नोकिया ने 200 डॉलर के तहत दो नए बजट एंड्रॉइड वन फोन लॉन्च किए।
एचएमडी ग्लोबल के बजट स्मार्टफोन लाइनअप में नोकिया 2.4 और नोकिया 3.4 नवीनतम जोड़ हैं। चूंकि वे दोनों एंड्रॉइड वन डिवाइस हैं, इसलिए उन्हें दो प्रमुख ओएस अपडेट प्राप्त करने और तीन साल तक नियमित सुरक्षा अपडेट प्राप्त करने की गारंटी है।
फिटबिट सेंस और वर्सा 3 के लिए ये बेहतरीन बैंड हैं।
फिटबिट सेंस और वर्सा 3 की रिलीज के साथ, कंपनी ने नए इन्फिनिटी बैंड भी पेश किए। हमने आपके लिए चीजों को आसान बनाने के लिए सर्वश्रेष्ठ लोगों को चुना है।