Android News
लेख

QualPwn क्वालकॉम स्नैपड्रैगन चिप्स के लिए एक नया कारनामा है, यहां आपको जानने की जरूरत है

लेख
protection click fraud

आपका फोन मिश्रित भागों के असंख्य से बनाया गया है, और उनमें से कई "स्मार्ट" हैं और उनके स्वयं के अंतर्निहित प्रोसेसर और फर्मवेयर हैं। इसका मतलब है कि बग या भेद्यता के लिए बहुत सारे स्थान हैं जो एक खराब अभिनेता को उन चीजों तक पहुंच बनाने की अनुमति देगा जो उन्हें नहीं चाहिए। जो कंपनियां इन भागों को बनाती हैं, वे इसे रोकने के लिए हमेशा चीजों को सुधारने और सख्त करने की कोशिश कर रही हैं, लेकिन यह है एक घटक के प्रयोगशाला छोड़ने और असेंबली लाइन पर समाप्त होने से पहले उनके लिए सब कुछ खोजना असंभव है।

अधिकांश कारनामों को किसी को पता चलने से पहले पैच कर दिया जाता है, लेकिन कुछ इसके माध्यम से बनाते हैं।

इससे इन बगों और कमजोरियों को अपने आप में एक उद्योग मिल जाता है। DEFCON 27 और ब्लैक हैट 2019 में, विशाल स्थानों पर, जहां कारनामों को सार्वजनिक किया जाता है और प्रदर्शन किया जाता है (और उम्मीद है, पैच किया गया), क्वालकॉम चिप्स में एक भेद्यता रही है Tencent ब्लेड टीम द्वारा घोषित यह एक हमलावर को कर्नेल के माध्यम से पहुंच प्राप्त करने की अनुमति देगा और संभावित रूप से आपके फोन में पहुंच जाएगा और नुकसान पहुंचाएगा। अच्छी खबर यह है कि यह जिम्मेदारी से घोषित किया गया था और क्वालकॉम ने Google के साथ इस मुद्दे को ठीक करने के लिए काम किया था

अगस्त 2019 Android सुरक्षा बुलेटिन.

वेरिज़ॉन नई असीमित लाइनों पर $ 10 / मो के लिए पिक्सेल 4 ए की पेशकश कर रहा है

यहां वह सब कुछ है जो आपको QualPwn के बारे में जानना चाहिए।

QualPwn क्या है?

एक मजाकिया नाम होने के अलावा, QualPwn क्वालकॉम चिप्स में एक भेद्यता का वर्णन करता है जो एक हमलावर को WLAN (वायरलेस लोकल एरिया नेटवर्क) और रिमोट से सेल मोडेम के माध्यम से एक फोन से समझौता करने की अनुमति देगा। क्वालकॉम प्लेटफ़ॉर्म को सुरक्षित बूट द्वारा संरक्षित किया जाता है, लेकिन क्वालप्वेन सिक्योर बूट को हरा देता है और मॉडेम को एक हमलावर एक्सेस देता है ताकि डिबगिंग टूल्स को लोड किया जा सके और बेसबैंड को नियंत्रित किया जा सके।

एक बार ऐसा होता है, यह है मुमकिन एक हमलावर कर्नेल का शोषण कर सकता है जो एंड्रॉइड के ऊपर चलता है और उन्नत विशेषाधिकार प्राप्त करता है - वे आपके व्यक्तिगत डेटा तक पहुंच सकते हैं।

हमारे पास इस बारे में सभी विवरण नहीं हैं कि यह कैसे होगा या यह कितना आसान होगा, लेकिन इस दौरान वे आ रहे हैं Tencent ब्लेड की ब्लैक हैट 2019 और DEFCON 27 प्रस्तुतियाँ.

WLAN क्या है?

WLAN वायरलेस लोकल एरिया नेटवर्क के लिए खड़ा है और यह मोबाइल फोन सहित - उपकरणों के किसी भी समूह के लिए एक कैच-ऑल नाम है - जो एक दूसरे के साथ वायरलेस तरीके से संवाद करते हैं। एक WLAN वाई-फाई, सेलुलर, ब्रॉडबैंड, ब्लूटूथ या किसी अन्य वायरलेस प्रकार का उपयोग करने के लिए संवाद कर सकता है और यह हमेशा कारनामों की तलाश में रहने वाले लोगों के लिए एक हनीपॉट रहा है।

क्योंकि इतने सारे अलग-अलग डिवाइस प्रकार एक WLAN का हिस्सा हो सकते हैं, एक कनेक्शन बनाए रखने के तरीके के बारे में बहुत विशिष्ट मानक हैं। क्वालकॉम के चिप्स जैसे घटकों सहित आपके फोन को इन मानकों को शामिल करने और उनका पालन करने की आवश्यकता है। जैसा कि मानक अग्रिम और नया हार्डवेयर बनाया जाता है, बग और भेद्यता कैसे कनेक्शन बनाए जाते हैं।

QualPWN तय हो गया है?

हाँ। अगस्त 2019 के लिए एंड्रॉइड सिक्योरिटी बुलेटिन है सभी कोड की जरूरत है क्वालकॉम से प्रभावित उपकरणों को पैच करने के लिए। एक बार जब आपका फोन अगस्त 2019 पैच हो जाता है तो आप सुरक्षित होते हैं।

कौन से उपकरण प्रभावित हैं?

Tencent ब्लेड टीम ने क्वालकॉम चिप का उपयोग करके हर फोन का परीक्षण नहीं किया, बस पिक्सेल 2 तथा पिक्सेल 3. दोनों असुरक्षित थे, इसलिए स्नैपड्रैगन 835 और 845 प्लेटफॉर्म पर चलने वाले सभी फोन हैं शायद कम से कम प्रभावित हुआ। QualPwn को पैच करने के लिए उपयोग किए जाने वाले कोड को क्वालकॉम प्रोसेसर और एंड्रॉइड 7.0 या उच्चतर चलाने वाले किसी भी फोन पर लागू किया जा सकता है।

जब तक सभी विवरण जारी नहीं किए जाते हैं, तब तक यह मानना ​​सुरक्षित है कि सभी आधुनिक स्नैपड्रैगन चिपसेट को पैच होने तक जोखिम माना जाना चाहिए।

क्या QualPwn का उपयोग वास्तविक दुनिया में किया गया है?

2019 के मार्च में इस कारनामे का Google को जिम्मेदारी से खुलासा किया गया था, और एक बार सत्यापित करने के बाद इसे क्वालकॉम को भेज दिया गया था। क्वालकॉम अपने सहयोगियों को सूचित किया और इसे 2019 के जून में पैच करने के लिए कोड भेजा और अगस्त 2019 के एंड्रॉइड सिक्योरिटी बुलेटिन में इस्तेमाल किए गए कोड के साथ चेन के हर टुकड़े को पैच किया गया।

QualPwn के जंगली में शोषित होने के कोई उदाहरण नहीं मिले हैं। क्वालकॉम ने इस मुद्दे के बारे में निम्नलिखित बयान भी जारी किया:

मजबूत सुरक्षा और गोपनीयता का समर्थन करने वाली प्रौद्योगिकियां प्रदान करना क्वालकॉम के लिए प्राथमिकता है। हम अपने वल्नरेबिलिटी रिवार्ड्स प्रोग्राम के माध्यम से उद्योग-मानक समन्वित प्रकटीकरण प्रथाओं का उपयोग करने के लिए Tencent के सुरक्षा शोधकर्ताओं की सराहना करते हैं। क्वालकॉम टेक्नोलॉजीज ने पहले ही ओईएम को फिक्स जारी कर दिया है, और हम अंतिम उपयोगकर्ताओं को अपने उपकरणों को अपडेट करने के लिए प्रोत्साहित करते हैं क्योंकि ओईएम से पैच उपलब्ध हो जाते हैं।

पैच मिलने तक मुझे क्या करना चाहिए?

वास्तव में ऐसा कुछ भी नहीं है जो आप अभी कर सकते हैं। मुद्दों के रूप में चिह्नित किया गया है नाजुक Google और क्वालकॉम द्वारा और तुरंत पैच किए गए थे, इसलिए अभी आपको उस कंपनी का इंतजार करना होगा जिसने आपका फोन आपको प्राप्त करने के लिए बनाया है। Pixel 2 और 3 जैसे Pixel फोन में Essential और OnePlus के कुछ अन्य लोगों के साथ पहले से ही पैच उपलब्ध हैं। सैमसंग, मोटोरोला, एलजी और अन्य के अन्य लोगों को फोन पर धकेलने में कुछ सप्ताह से कुछ दिन लगेंगे।

इस बीच, उन्हीं सर्वोत्तम प्रथाओं का पालन करें जिनका आपको हमेशा उपयोग करना चाहिए:

  • हमेशा एक मजबूत लॉक स्क्रीन का उपयोग करें
  • कभी भी किसी ऐसे व्यक्ति से लिंक का पालन न करें, जिसे आप नहीं जानते और विश्वास करते हैं
  • कभी भी उन वेबसाइटों या ऐप पर कोई व्यक्तिगत विवरण न भेजें, जिन पर आपको भरोसा नहीं है
  • कभी भी Google के अलावा किसी को भी अपना Google पासवर्ड न दें
  • पासवर्ड का पुन: उपयोग न करें
  • हमेशा एक अच्छे पासवर्ड मैनेजर का उपयोग करें
  • जब भी आप कर सकते हैं दो-कारक प्रमाणीकरण का उपयोग करें

अधिक: 2019 में एंड्रॉइड के लिए सर्वश्रेष्ठ पासवर्ड प्रबंधक

ये प्रथाएं इस प्रकृति के शोषण को रोक नहीं सकती हैं, लेकिन यदि कोई आपके व्यक्तिगत विवरणों को प्राप्त करना चाहता है, तो वे नुकसान को कम कर सकते हैं। बुरे लोगों के लिए इसे आसान न बनाएं।

अधिक जानकारी आ रही है

जैसा कि उल्लेख किया गया है, Tencent ब्लेड टीम ब्लैक हैट 2019 और DEFCON 27 दोनों पर आगामी प्रस्तुतियों के दौरान क्वालप्वन के बारे में सभी विवरण जारी करेगी। ये सम्मेलन इलेक्ट्रॉनिक डिवाइस सुरक्षा पर केंद्रित हैं और अक्सर इस तरह के कारनामों को विस्तार देने के लिए उपयोग किया जाता है।

एक बार जब Tencent ब्लेड अधिक जानकारी प्रदान करता है, तो हम अपने स्वयं के फोन के साथ किसी भी जोखिम को कम करने के लिए क्या कर सकते हैं, इसके बारे में अधिक जानकारी प्राप्त करेंगे।

जेरी हिल्डेनब्रांड

जेरी मोबाइल नेशन का निवासी है और उस पर गर्व करता है। ऐसा कुछ भी नहीं है जिसे वह अलग नहीं कर सकते, लेकिन कई चीजें जो उन्हें आश्वस्त नहीं कर सकती हैं। आप उसे मोबाइल राष्ट्र नेटवर्क में पा सकते हैं और आप कर सकते हैं उसे ट्विटर पर मारा अगर आप कहना चाहते हैं अरे

श्रेणियाँ

नवीनतम ब्लॉग पोस्ट

अभी पढ़ो
instagram story viewer