Google ने अभी सार्वजनिक रूप से खुलासा किया है यह एक अत्यंत गंभीर भेद्यता की खोज की एंड्रॉइड के लिए एपिक का पहला फ़ोर्टनाइट इंस्टॉलर इसकी अनुमति है कोई भी अपने फोन पर ऐप डाउनलोड और इंस्टॉल करें कुछ भी उपयोगकर्ता की जानकारी के बिना, पूर्ण अनुमतियों वाले एप्लिकेशन सहित पृष्ठभूमि में। Google की सुरक्षा टीम ने सबसे पहले 15 अगस्त को निजी तौर पर एपिक गेम्स की भेद्यता का खुलासा किया था, और किया है चूंकि एपिक से सार्वजनिक रूप से पुष्टि के बाद सूचना जारी हुई थी कि भेद्यता थी समझौता।
संक्षेप में, यह था बिल्कुल सही शोषण की तरह एंड्रॉइड सेंट्रल और अन्य लोगों ने इस तरह की स्थापना प्रणाली के साथ होने की आशंका जताई थी। यहां आपको भेद्यता के बारे में जानने की आवश्यकता है, और यह सुनिश्चित करने के लिए कि आप सुरक्षित हैं आगे जा रहे हैं।
Verizon, नई असीमित लाइनों पर $ 10 / मो के लिए Pixel 4a की पेशकश कर रहा है
भेद्यता क्या है और यह इतना बुरा क्यों है?
जब आप "Fortnite" डाउनलोड करने के लिए जाते हैं, तो आप वास्तव में पूरे गेम को डाउनलोड नहीं करते हैं, आप पहले Fortnite Installer को डाउनलोड करते हैं। Fortnite Installer एक सरल ऐप है जिसे आप डाउनलोड और इंस्टॉल करते हैं, जो बाद में सीधे पूर्ण Fortnite गेम को एपिक से डाउनलोड करता है।
फ़ोर्टनाइट इंस्टॉलर पूर्ण गेम डाउनलोड करने के अनुरोध को अपहरण करने के लिए आसानी से शोषक था।
जैसा कि Google की सुरक्षा टीम को पता चला था, समस्या यह थी कि Fortnite Installer को एपिक से Fortnite डाउनलोड करने के अनुरोध को हाईजैक करने के लिए आसानी से दोहन करना था और इसके बजाय डाउनलोड करना था कुछ भी जब आप गेम को डाउनलोड करने के लिए बटन पर टैप करते हैं। यह के रूप में जाना जाता है "मैन-इन-द-डिस्क" हमला: आपके फोन पर एक ऐप इंटरनेट से कुछ डाउनलोड करने के लिए अनुरोध करता है और मूल डाउनलोडिंग ऐप से अनभिज्ञ होने के बजाय कुछ और डाउनलोड करने का अनुरोध करता है। यह विशुद्ध रूप से संभव है क्योंकि Fortnite Installer को अनुचित तरीके से डिज़ाइन किया गया था - Fortnite Installer कोई भी विचार नहीं है कि यह सिर्फ मैलवेयर डाउनलोड की सुविधा देता है, और टैपिंग "लॉन्च" भी लॉन्च करता है मैलवेयर।
शोषण करने के लिए, आपको अपने फोन पर एक ऐप इंस्टॉल करना होगा जो इस तरह की भेद्यता की तलाश में था - लेकिन दिया गया Fortnite की लोकप्रियता और रिलीज़ की प्रत्याशा, इसकी अत्यधिक संभावना है कि वहाँ अनचाही ऐप्स हैं जो अभी कर रही हैं उस। कई बार फोन पर इंस्टॉल होने वाले दुर्भावनापूर्ण ऐप में उन पर एक भी शोषण नहीं होता है परीक्षण के लिए कई ज्ञात कमजोरियों से भरा एक पूरा पेलोड, और इस प्रकार का हमला एक हो सकता है उन्हें।
एक टैप से, आप एक दुर्भावनापूर्ण ऐप डाउनलोड कर सकते हैं जिसमें आपके फ़ोन पर सभी अनुमतियाँ और सभी डेटा तक पहुंच थी।
यहां जहां चीजें मिलती हैं वास्तव में खराब। एंड्रॉइड के अनुमतियों के मॉडल के काम करने के तरीके के कारण, आपको उस समय से परे "अज्ञात स्रोतों" से ऐप इंस्टॉल करने की स्वीकृति नहीं देनी होगी, जब आपने Fortnite के लिए उस इंस्टॉलेशन को स्वीकार किया था। जिस तरह से यह शोषण काम करता है, उसके कारण अधिष्ठापन प्रक्रिया के दौरान कोई संकेत नहीं है कि आप कुछ और डाउनलोड कर रहे हैं Fortnite (और Fortnite Installer का कोई ज्ञान नहीं है, या तो), जबकि पृष्ठभूमि में एक पूरी तरह से अलग ऐप है स्थापित। यह सब फ़ोर्टनाइट इंस्टॉलर से ऐप इंस्टॉल करने के अपेक्षित प्रवाह के भीतर होता है - आप इंस्टॉलेशन को स्वीकार करते हैं, क्योंकि आपको लगता है कि आप गेम इंस्टॉल कर रहे हैं। गैलेक्सी ऐप्स से ऐप प्राप्त करने वाले सैमसंग फोन पर, विशेष रूप से, चीजें थोड़ी खराब होती हैं: "अज्ञात स्रोतों" से अनुमति देने का पहला संकेत भी नहीं है क्योंकि गैलेक्सी ऐप्स एक ज्ञात स्रोत है। आगे जाकर, वह ऐप जो केवल चुपचाप स्थापित किया गया था, घोषित किया जा सकता है और प्रदान किया जा सकता है हर एक आपकी आगे की सहमति के बिना अनुमति संभव है। इससे कोई फर्क नहीं पड़ता कि आपके पास Android लॉलीपॉप वाला फोन है या नहीं Android पाई, या क्या आपने Fortnite Installer को स्थापित करने के बाद "अज्ञात स्रोतों" को बंद कर दिया - जैसे ही आपने इसे स्थापित किया, आपको संभावित रूप से हमला किया जा सकता है।
शोषण के लिए Google का इश्यू ट्रैकर पेज गैलेक्सी स्क्रीन स्टोर से इस मामले में एक त्वरित स्क्रीन रिकॉर्डिंग है, जिसमें दिखाया गया है कि उपयोगकर्ता कितनी आसानी से Fortnite Installer को डाउनलोड और इंस्टॉल कर सकता है, और लगता है कि वे Fortnite डाउनलोड कर रहे हैं इसके बजाय एक दुर्भावनापूर्ण ऐप डाउनलोड और इंस्टॉल करना, पूर्ण अनुमतियों के साथ - कैमरा, स्थान, माइक्रोफ़ोन, एसएमएस, स्टोरेज और फ़ोन - जिसे "Fortiteite" कहा जाता है। यह कुछ सेकंड और कोई उपयोगकर्ता लेता है बातचीत।
हाँ, यह एक बहुत बुरा है।
आप कैसे सुनिश्चित कर सकते हैं कि आप सुरक्षित हैं
शुक्र है, महाकाव्य ने शोषण को ठीक करने के लिए जल्दी से काम किया। महाकाव्य के अनुसार, अधिसूचित होने के बाद शोषण 48 घंटे से कम समय के लिए तय किया गया था और हर फ़ोर्टनाइट पर तैनात किया गया था इंस्टॉलर जो पहले स्थापित किया गया था - उपयोगकर्ताओं को बस इंस्टॉलर को अपडेट करने की आवश्यकता है, जो एक-टैप मामला है। फिक्स को लाने वाले Fortnite Installer का संस्करण 2.1.0 है, जिसे आप Fortnite Installer लॉन्च करके और इसकी सेटिंग में जाकर देख सकते हैं। यदि आप किसी भी कारण से Fortnite Installer के पुराने संस्करण को डाउनलोड करना चाहते हैं, तो यह Fortnite को स्थापित करने से पहले आपको 2.1.0 (या बाद में) स्थापित करने के लिए प्रेरित करेगा।
यदि आपके पास संस्करण 2.1.0 या बाद का संस्करण है, तो आप इस विशेष भेद्यता से सुरक्षित हैं।
महाकाव्य खेलों ने इस भेद्यता के बारे में जानकारी जारी नहीं की है कि यह पुष्टि की गई है कि यह है इंस्टॉलर के संस्करण 2.1.0 में तय किया गया है, इसलिए हमें नहीं पता है कि क्या यह सक्रिय रूप से शोषण किया गया था जंगली। यदि आपका Fortnite Installer अप टू डेट है, लेकिन आप अभी भी इस बात से चिंतित हैं कि क्या आप इस भेद्यता से प्रभावित थे, तो आप अनइंस्टॉल कर सकते हैं Fortnite और Fortnite Installer, फिर यह सुनिश्चित करने के लिए फिर से इंस्टॉलेशन प्रक्रिया से गुजरें कि आपका Fortnite इंस्टॉलेशन है वैध। गूगल प्ले प्रोटेक्ट के साथ आप स्कैन (और कर सकते हैं) भी चला सकते हैं अगर यह स्थापित किया गया था तो किसी भी मैलवेयर की पहचान करने के लिए।
Google प्रवक्ता ने स्थिति पर निम्न टिप्पणी की थी:
उपयोगकर्ता सुरक्षा हमारी सर्वोच्च प्राथमिकता है, और मैलवेयर के लिए हमारी सक्रिय निगरानी के भाग के रूप में हमने Fortnite इंस्टॉलर में भेद्यता की पहचान की। हमने तुरंत एपिक गेम्स को अधिसूचित किया और उन्होंने इस मुद्दे को तय किया।
एपिक गेम्स ने सीईओ टिम स्वीनी की निम्नलिखित टिप्पणी प्रदान की:
एपिक ने वास्तव में हमारे बाद तुरंत फोर्टनाइट की गहन सुरक्षा ऑडिट करने के Google के प्रयास की सराहना की एंड्रॉइड पर रिलीज़ करें, और एपिक के साथ परिणाम साझा करें ताकि हम उस दोष को ठीक करने के लिए तेजी से अपडेट जारी कर सकें की खोज की।
हालाँकि, Google द्वारा गैर-कानूनी रूप से दोष के तकनीकी विवरणों को इतनी जल्दी प्रकट करना गैर-जिम्मेदाराना था, जबकि कई स्थापनाएँ अभी तक अपडेट नहीं हुई थीं और अभी भी असुरक्षित थीं।
एक एपिक सुरक्षा इंजीनियर, मेरे आग्रह पर, Google ने विशिष्ट 90 दिनों के लिए सार्वजनिक प्रकटीकरण का अनुरोध किया, ताकि अपडेट को व्यापक रूप से स्थापित करने के लिए समय दिया जा सके। Google ने मना कर दिया। आप यह सब पढ़ सकते हैं https://issuetracker.google.com/issues/112630336
Google के सुरक्षा विश्लेषण प्रयासों की सराहना की जाती है और एंड्रॉइड प्लेटफ़ॉर्म को लाभ मिलता है, हालांकि Google जितनी शक्तिशाली एक कंपनी को अधिक अभ्यास करना चाहिए इसकी तुलना में जिम्मेदार प्रकटीकरण का समय, और इसके काउंटर के पाठ्यक्रम में उपयोगकर्ताओं को खतरे में न डालें गूगल प्ले।
एपिक के दिमाग में गूगल ने भले ही तेजी से छलांग लगाई हो, लेकिन कार्रवाई के इस कोर्स का स्पष्ट रूप से पालन किया गया 0 कमजोरियों का खुलासा करने के लिए Google की नीति.
हमने इस प्रक्रिया से क्या सीखा
मैं अब कुछ वर्षों के लिए एंड्रॉइड सेंट्रल पर कहा गया दोहराता हूं: केवल उन कंपनियों और डेवलपर्स से एप्लिकेशन इंस्टॉल करना अविश्वसनीय रूप से महत्वपूर्ण है जिन पर आप भरोसा करते हैं। यह शोषण, जितना बुरा है, इसके लिए अभी भी आवश्यक है कि आपके पास Fortnite Installer दोनों हों तथा एक और दुर्भावनापूर्ण ऐप जो अधिक हानिकारक मैलवेयर डाउनलोड करने का अनुरोध करेगा। Fortnite की भारी लोकप्रियता के साथ उन सर्किलों के ओवरलैप होने की काफी संभावना है, लेकिन ऐसा होना जरूरी नहीं है आप.
यह ठीक उसी तरह की भेद्यता है जिसके बारे में हम चिंतित थे, और यह दिवस 1 पर हुआ।
प्ले स्टोर के बाहर Fortnite को स्थापित करने के निर्णय के साथ शुरू से हमारी चिंताओं में से एक था गेम की लोकप्रियता लोगों के सामान्य ज्ञान को उनके ऐप के लिए प्ले स्टोर से चिपके रहने के लिए मजबूर करेगी। यह उस तरह की भेद्यता है जो संभवतः प्ले स्टोर पर जाने की समीक्षा प्रक्रिया में पकड़ा जाएगा, और इसे ठीक किया जाएगा इससे पहले बड़ी संख्या में लोगों ने इसे डाउनलोड किया। और अपने फोन पर Google Play प्रोटेक्ट के साथ, Google कभी भी जंगल में इसे बाहर करने पर ऐप को मारने और अनइंस्टॉल करने में सक्षम होगा।
अपने हिस्से के लिए, Google अभी भी इस भेद्यता को पकड़ने में कामयाब रहा, भले ही ऐप को प्ले स्टोर के माध्यम से वितरित नहीं किया जा रहा है। हम पहले से ही जानते हैं कि Google Play प्रोटेक्ट आपके फोन पर ऐप्स को स्कैन करने में सक्षम है, भले ही वे सीधे वेब या किसी अन्य ऐप स्टोर से इंस्टॉल किए गए हों, और इस मामले में यह प्रक्रिया Google की एक प्रतिभावान सुरक्षा टीम द्वारा समर्थित थी जिसने भेद्यता को पाया और इसकी सूचना दी डेवलपर। यह प्रक्रिया आम तौर पर बहुत अधिक धूमधाम के बिना पृष्ठभूमि में होती है, लेकिन जब हम किसी ऐप के बारे में बात कर रहे होते हैं फ़ॉर्च्यून लाखों संभावनाएं स्थापित करता है, यह दिखाता है कि Google कितनी गंभीरता से सुरक्षा लेता है एंड्रॉयड।
अपडेट करें: इस लेख में शोषण पर स्पष्ट जानकारी के साथ अद्यतन किया गया है, साथ ही साथ एपिक गेम्स के सीईओ टिम स्वीनी की एक टिप्पणी भी है।
ये सबसे अच्छे वायरलेस ईयरबड्स हैं जिन्हें आप हर कीमत पर खरीद सकते हैं!
सबसे अच्छा वायरलेस ईयरबड आरामदायक, शानदार ध्वनि, बहुत अधिक लागत नहीं है, और आसानी से जेब में फिट होते हैं।
PS5 के बारे में आपको जो कुछ भी जानना है: रिलीज की तारीख, मूल्य, और बहुत कुछ।
सोनी ने आधिकारिक तौर पर पुष्टि की है कि यह PlayStation 5 पर काम कर रहा है। यहां हम सब कुछ जानते हैं जो अब तक इसके बारे में है।
नोकिया ने $ 200 के तहत दो नए बजट Android One फोन लॉन्च किए।
एचएमडी ग्लोबल के बजट स्मार्टफोन लाइनअप में नोकिया 2.4 और नोकिया 3.4 नवीनतम जोड़ हैं। चूंकि वे दोनों एंड्रॉइड वन डिवाइस हैं, इसलिए उन्हें दो प्रमुख ओएस अपडेट और तीन साल तक नियमित सुरक्षा अपडेट प्राप्त करने की गारंटी है।
Android के लिए सबसे अच्छा आइकन पैक के साथ अपने स्मार्टफोन या टैबलेट को मसाला दें।
अपने डिवाइस को कस्टमाइज़ करने में सक्षम होना शानदार है क्योंकि यह आपके डिवाइस को "अपने खुद के" और भी अधिक बनाने में मदद करता है। एंड्रॉइड की शक्ति के साथ, आप कस्टम आइकन थीम जोड़ने के लिए तीसरे पक्ष के लॉन्चरों का उपयोग कर सकते हैं और ये हमारे पसंदीदा में से कुछ हैं।
एंड्रयू मार्टनिक
एंड्रयू एंड्रॉइड सेंट्रल में कार्यकारी संपादक, यू.एस. वह विंडोज मोबाइल के दिनों से एक मोबाइल उत्साही रहा है, और 2012 से एसी में एक अद्वितीय परिप्रेक्ष्य के साथ एंड्रॉइड से संबंधित सभी चीजों को कवर करता है। सुझावों और अपडेट के लिए, आप उसे [email protected] या ट्विटर पर पहुंचा सकते हैं @andrewmartonik.