ब्लैक हैट सम्मेलन इस सप्ताह लास वेगास में हो रहा है, जहां हैकर्स, सुरक्षा विशेषज्ञ और प्रमुख कंपनियों के प्रतिनिधि सूचना सुरक्षा से संबंधित सभी चीजों पर चर्चा करने के लिए मिलते हैं। यदि आप आज सम्मेलन से बाहर समाचारों का अनुसरण कर रहे हैं, तो आपको एंड्रॉइड (और एनएफसी-सक्षम मीगो फोन) में एक नई सुरक्षा भेद्यता की रिपोर्ट मिल सकती है जो दुर्भावनापूर्ण हो सकती है एनएफसी (निकट-क्षेत्र संचार) मैलवेयर को सीधे आपके फ़ोन पर भेजने के लिए टैग करें। डरावना लगता है, है ना? अब आपके कुछ किए बिना ही हैकर्स आपके स्मार्टफोन पर कब्ज़ा कर सकते हैं। लेकिन जैसा कि इस प्रकार के सुरक्षा मुद्दों के मामले में हमेशा होता है, यह उतना आसान नहीं है जितना लगता है। और यह एनएफसी 'हैक', जितना सेक्सी और तकनीकी रूप से प्रभावशाली है, उतना नहीं है वास्तव में नियमित स्मार्टफोन उपयोगकर्ताओं के लिए कुछ भी विशेष रूप से डरावना।
कारण जानने के लिए आगे पढ़ें।
सबसे पहले, हमें जल्दी से समझाना चाहिए कि एनएफसी वास्तव में क्या है। इसका मतलब निकट-क्षेत्र संचार है, और यह एक बहुत ही कम दूरी की वायरलेस संचार तकनीक है जिसे बहुत कम दूरी पर तुरंत छोटी मात्रा में डेटा भेजने के लिए डिज़ाइन किया गया है। स्मार्टफोन पर, इसका उपयोग यूआरएल जैसी चीजों को एक हैंडसेट से दूसरे हैंडसेट में स्थानांतरित करने के लिए किया जा सकता है वैकल्पिक रूप से एनएफसी "टैग" को स्कैन करने के लिए, जिसमें स्वयं थोड़ी मात्रा में डेटा हो सकता है जो फोन में हो सकता है फिर कार्रवाई करें. इसका उपयोग भुगतान की सुविधा के लिए भी किया जा सकता है, उदाहरण के लिए Google वॉलेट के माध्यम से। (हमारे Android A-Z में और पढ़ें)
कई स्रोतों की रिपोर्ट है कि सुरक्षा शोधकर्ता चार्ली मिलर ने हैकिंग के लिए विभिन्न तकनीकों का प्रदर्शन किया नेक्सस एस (जिंजरब्रेड पर), गैलेक्सी नेक्सस (आइसक्रीम सैंडविच पर) और ब्लैक हैट पर मीगो-संचालित नोकिया एन9 सप्ताह। कई सबसे डरावने कारनामे N9 पर पाए गए, लेकिन हम यहां Android पर ध्यान केंद्रित करेंगे, क्योंकि हम यही करते हैं। (और आज की कई सुर्खियाँ भी इसी पर केंद्रित हैं।)
उच्च अंत से शुरू करते हुए, गैलेक्सी नेक्सस मिलर ने प्रदर्शित किया कि एनएफसी-सक्षम एंड्रॉइड फोन चल रहे हैं आइसक्रीम सैंडविच या बाद में एंड्रॉइड बीम का उपयोग करें, एक ऐसी सुविधा जिसे कुछ (लेकिन सभी ने नहीं) ने चालू कर दिया है गलती करना। अन्य बातों के अलावा, बीम उपयोगकर्ताओं को दूसरे फोन या एनएफसी टैग से सीधे डिवाइस के वेब ब्राउज़र में यूआरएल लोड करने देता है। इसका मतलब है कि दुर्भावनापूर्ण एनएफसी टैग के साथ, किसी साधारण उपयोगकर्ता को सीधे दुर्भावनापूर्ण वेब पेज पर भेजना संभव है। हालाँकि, इसके काम करने के लिए, टैग को बहुत कम सीमा के भीतर होना चाहिए जिस पर एनएफसी रेडियो काम कर सकते हैं - मूल रूप से डिवाइस के पिछले हिस्से को छूने के अलावा। एंड्रॉइड बीम डिज़ाइन द्वारा टैग किए गए यूआरएल को बिना किसी संकेत के स्वचालित रूप से खोलता है। यह एक वैध सुरक्षा चिंता है, लेकिन पारंपरिक अर्थों में कोई शोषण नहीं है, क्योंकि कुछ भी करने के लिए आपको उपयोगकर्ता की पसंद के वेब ब्राउज़र में भेद्यता ढूंढनी होगी।
यदि आप एंड्रॉइड 4.0.1 पर अंतर्निहित एंड्रॉइड ब्राउज़र का उपयोग कर रहे हैं, तो ऐसा बग मौजूद है, और यह विशेष रूप से डिज़ाइन किए गए वेब पेज को डिवाइस पर कोड चलाने की अनुमति दे सकता है। फिर, एक पूरी तरह से वैध सुरक्षा मुद्दा, लेकिन इस तरह के शोषण के लिए डिलीवरी पद्धति के रूप में एनएफसी का उपयोग करना व्यावहारिक से बहुत दूर है। उल्लेख नहीं है कि एंड्रॉइड 4.0.1 केवल गैलेक्सी नेक्सस पर जारी किया गया था, एक फोन जिसे आपके कैरियर के आधार पर एंड्रॉइड 4.0.4 या 4.1.1 में अपडेट किया गया है।
मिलर ने यह भी प्रदर्शित किया कि कैसे वह एंड्रॉइड 2.3 के मेमोरी प्रबंधन में बग का फायदा उठाकर एनएफसी समर्थन वाले जिंजरब्रेड डिवाइस को दुर्भावनापूर्ण टैग का उपयोग करके कोड निष्पादित कर सकता है। यह संभावित रूप से एक हमलावर को केवल एक का उपयोग करके डिवाइस का पूर्ण नियंत्रण लेने की क्षमता देता है एनएफसी टैग, लेकिन हमें कुछ कारकों पर ध्यान देना चाहिए जो इसे आपके लिए कम गंभीर मुद्दा बनाते हैं सोचना। निश्चित रूप से, एंड्रॉइड 2.3 जिंजरब्रेड अभी भी एंड्रॉइड का सबसे अधिक उपयोग किया जाने वाला संस्करण है, और कई नए एंड्रॉइड डिवाइस एनएफसी समर्थन के साथ आते हैं, लेकिन दोनों के बीच बहुत कम क्रॉस-ओवर है। नेक्सस एस एनएफसी को सपोर्ट करने वाला पहला एंड्रॉइड हैंडसेट था, लेकिन बाद में इसे जेली बीन में अपडेट कर दिया गया। अन्य एनएफसी-समर्थक डिवाइस 2.3 पर भेजे गए, लेकिन एनएफसी वाले अधिकांश मुख्यधारा के एंड्रॉइड फोन कम से कम संस्करण 4.0.3 पर चलते हैं, जो इस डेमो में उपयोग किए गए कारनामों के प्रति संवेदनशील नहीं है। वास्तव में, हम एनएफसी वाले एक भी जिंजरब्रेड फोन के बारे में नहीं सोच सकते हैं जिसे अभी तक कम से कम एंड्रॉइड 4.0.3 पर अपडेट किया जाना है।
तो कमजोरियाँ निश्चित रूप से मौजूद हैं, लेकिन अभी केवल गंभीर कमजोरियाँ एनएफसी के साथ एंड्रॉइड आबादी के एक बहुत छोटे उपसमूह तक सीमित हैं, और एक बहुत ही विशिष्ट OS संस्करण. इसके अलावा, फोन को चालू करने की जरूरत है, एनएफसी रेडियो को सक्षम करने की जरूरत है, और उपयोगकर्ता को पर्याप्त रूप से विचलित करने की जरूरत है ताकि बताए गए एनएफसी टोन या कंपन पर ध्यान न दिया जाए।
अंततः, हैक किए जा रहे डिवाइस तक भौतिक पहुंच से जुड़ा कोई भी कारनामा वास्तविक बुरे लोगों के लिए सीमित उपयोग वाला होगा। ब्लैक हैट में दिखाए गए तरीकों के प्रचारित होने के बाद भी वास्तविक दुनिया में एनएफसी पर स्मार्टफोन का नियंत्रण लेना संभावित लोगों के लिए खतरनाक और अव्यावहारिक होगा। यदि दुर्भावनापूर्ण इरादे से मेरे पास लंबे समय तक चालू आपके फोन तक पहुंच है, तो एनएफसी मेरी कॉल का पहला पोर्ट नहीं होगा। इस सप्ताह चार्ली मिलर द्वारा प्रदर्शित कारनामे अद्भुत हैं और पढ़ने में निःसंदेह बहुत अच्छे हैं। लेकिन उनके द्वारा उत्पन्न वास्तविक खतरे को बढ़ा-चढ़ाकर पेश करना आसान है, खासकर जब इन हैक्स की मुख्यधारा की रिपोर्टिंग महत्वपूर्ण तकनीकी विवरणों पर प्रकाश डालती है।
निचली पंक्ति - यदि आप समय-समय पर अपने एंड्रॉइड फोन पर एनएफसी का उपयोग करना पसंद करते हैं, तो आप ऐसा करना जारी रख सकते हैं।
अधिक: आर्क टेक्निका