आपको क्या जानने की आवश्यकता है
- नॉर्थवेस्टर्न यूनिवर्सिटी के एक सुरक्षा शोधकर्ता ने एक नई शून्य-दिन की भेद्यता की खोज की।
- भेद्यता का लक्ष्य Android उपकरणों के कर्नेल भाग को प्रभावित करना है।
- यह हमलावर को Pixel 6/6 Pro और Galaxy S22 मॉडल जैसे उपकरणों तक मनमाने ढंग से पढ़ने और लिखने की पहुंच प्राप्त करने की अनुमति दे सकता है।
Google पारिस्थितिकी तंत्र को सुरक्षित रखने के लिए उद्योग-अग्रणी सुरक्षा सुविधाओं को शामिल करके एंड्रॉइड को सुरक्षित करने की निरंतर प्रक्रिया में रहता है। यह प्राथमिक कारणों में से एक है कि एंड्रॉइड डिवाइसों को अक्सर सुरक्षा पैच मिलते रहते हैं। Google Play सुरक्षा बनाए रखने का एक ऐसा उपाय है सर्वश्रेष्ठ एंड्रॉइड स्मार्टफोन हानिकारक ऐप्स डाउनलोड करने से.
Google द्वारा उठाए गए ऐसे सभी उपायों के बावजूद, हम दुनिया भर में Android या कंप्यूटिंग सिस्टम में सभी प्रकार की कमजोरियाँ देखते हैं। एक नई भेद्यता (के माध्यम से) एक्सडीए डेवलपर्स) की खोज पीएचडी जेनपेंग लिन ने की है। नॉर्थवेस्टर्न यूनिवर्सिटी का छात्र जो कर्नेल सुरक्षा पर ध्यान केंद्रित करता है।
लिन के अनुसार, यह कर्नेल में एक शून्य-दिन की भेद्यता है जो Google Pixel 6 को नुकसान पहुंचा सकती है, जैसा कि उन्होंने पिछले सप्ताह अपने ट्वीट में सुझाया था। उन्होंने आगे संकेत दिया कि यह भी किया जा सकता है
पिक्सेल 6 प्रो. न केवल पिक्सेल डिवाइस बल्कि कर्नेल v5.10 पर आधारित कोई भी एंड्रॉइड डिवाइस प्रभावित हो सकता है, जिसमें हाल के सैमसंग के डिवाइस भी शामिल हैं गैलेक्सी S22 शृंखला।नवीनतम Google Pixel 6 को कर्नेल में 0 दिन के साथ लॉन्च किया गया! विशेषाधिकार बढ़ाने और नियंत्रण प्रवाह को हाईजैक किए बिना SELinux को अक्षम करने के लिए मनमाने ढंग से पढ़ने/लिखने का लक्ष्य हासिल किया। बग Pixel 6 Pro को भी प्रभावित करता है, अन्य पिक्सेल प्रभावित नहीं होते :) pic.twitter.com/UsOI3ZbN3L5 जुलाई 2022
और देखें
अपने ट्वीट में, लिन ने यह भी बताया कि नवीनतम भेद्यता के साथ, एक हमलावर मनमाने ढंग से पढ़ने और लिखने की पहुंच प्राप्त कर सकता है और SELinux को अक्षम करने की क्षमता रखता है। XDA डेवलपर्स की रिपोर्ट में आगे उल्लेख किया गया है कि इस प्रकार के विशेषाधिकार से हमलावर ऑपरेटिंग सिस्टम के साथ छेड़छाड़ कर सकता है और अंतर्निहित सुरक्षा दिनचर्या में हेरफेर कर सकता है।
अपने ट्वीट के साथ दिए गए जवाब में लिन ने यह भी उल्लेख किया है कि भेद्यता केवल फोन तक ही सीमित नहीं है। जैसे सामान्य लिनक्स कर्नेल भी इसी तरह प्रभावित होता है। वह आगे बताते हैं कि जुलाई एंड्रॉइड सुरक्षा अपडेट वाले एंड्रॉइड डिवाइस भी इस शून्य-दिन की भेद्यता के प्रति संवेदनशील हैं।
लिन संभवतः ब्लैक हैट यूएसए 2022 में इस भेद्यता पर अधिक साझा करेंगे, जो अगले महीने शुरू होने वाला है। दो अन्य सुरक्षा शोधकर्ता डब की गई 40 मिनट की ब्रीफिंग में उनके साथ शामिल होने की योजना बना रहे हैं - सावधान: शोषण का एक नया तरीका! कोई पाइप नहीं लेकिन गंदे पाइप जितना गंदा.
बग की सूचना Google को दी गई थी, इसलिए अब हमें बग को ट्राइ करने, CVE असाइन करने, पैच का परीक्षण करने और फिर भविष्य के एंड्रॉइड सुरक्षा बुलेटिन में पैच को शामिल करने के लिए इंतजार करना होगा। इस सब में समय लगेगा, इसलिए कुछ महीनों तक समाधान उपलब्ध नहीं होगा।6 जुलाई 2022
और देखें
एस्पर के वरिष्ठ तकनीकी संपादक मिशाल रहमान द्वारा इस भेद्यता को संबोधित करते हुए एक अन्य ट्वीट पोस्ट से पता चलता है कि बग की सूचना Google को दी गई है। इसका मतलब है कि अब हमें समस्या का समाधान करने के लिए Google द्वारा प्रतीक्षा करने की आवश्यकता है। फिर, एक सीवीई असाइन करें, एक फिक्स का परीक्षण करें, और दोष रिपोर्ट प्राप्त होने पर पैच को बाद के एंड्रॉइड सुरक्षा बुलेटिन में शामिल करें। जाहिर तौर पर यह एक समय लेने वाली प्रक्रिया है; इसलिए, कई महीनों तक कोई समाधान उपलब्ध नहीं होगा, रहमान का सुझाव है।
इस बीच, एंड्रॉइड डिवाइस मालिकों को योग्य ऐप्स के अलावा अन्य रैंडम ऐप्स इंस्टॉल करने से पहले सावधान रहना चाहिए गूगल प्ले प्रोटेक्ट या पूरी तरह से अविश्वसनीय स्रोतों से इंस्टॉल करने से बचें।