जानूस भेद्यता हमलावरों को उनके हस्ताक्षरों को प्रभावित किए बिना ऐप्स को संशोधित करने की अनुमति देती है। इसे गार्डस्क्वेयर द्वारा खोजा गया था और Google द्वारा इसे ठीक कर दिया गया है।
एंड्रॉइड बड़ी संख्या में डिवाइसों पर इंस्टॉल है, और यह इसे दुर्भावनापूर्ण हमलावरों का लक्ष्य बनाता है। गूगल के मोबाइल ऑपरेटिंग सिस्टम में हर महीने कमजोरियां खोजी जाती रहती हैं, लेकिन अच्छी खबर यह है कि गूगल... आमतौर पर उन्हें नियमित सुरक्षा पैच में ठीक करने के बारे में मेहनती होता है, जिसे बाद में ओईएम को पेश किया जाता है, जो इसे भेज देते हैं उपकरण।
हाल ही में, सुरक्षा शोधकर्ताओं ने एक भेद्यता का खुलासा किया जिसने उपयोगकर्ताओं को धोखे से हमलावरों को उनके डिवाइस की स्क्रीन रिकॉर्ड करने की अनुमति दे दी. वह विशेष शोषण Android Oreo में तय किया गया था, लेकिन विश्लेषकों का कहना है गार्डस्क्वायर हाल ही में एक और गंभीर भेद्यता की सूचना मिली है जो पुराने हस्ताक्षर योजनाओं द्वारा हस्ताक्षरित एंड्रॉइड ऐप्स को प्रभावित करती है।
गार्डस्क्वायरकी रिपोर्ट में कहा गया है कि दोहरे चरित्र वालाभेद्यता एंड्रॉइड में (CVE-2017-13156) हमलावरों को उनके हस्ताक्षरों को प्रभावित किए बिना एप्लिकेशन में कोड को संशोधित करने की अनुमति देता है। रिपोर्ट में कहा गया है कि भेद्यता की जड़ यह है कि एक फ़ाइल एक ही समय में एक वैध एपीके फ़ाइल और एक वैध DEX फ़ाइल हो सकती है।
जानूस इस तथ्य का लाभ उठाता है कि एपीके फ़ाइलों और DEX फ़ाइलों में अतिरिक्त बाइट्स पर किसी का ध्यान नहीं जाता है। गार्डस्क्वायर रिपोर्ट बताती है कि एपीके फ़ाइल एक ज़िप संग्रह है जिसमें शुरुआत में, ज़िप प्रविष्टियों के पहले और बीच में मनमाने बाइट्स हो सकते हैं। JAR हस्ताक्षर योजना केवल ज़िप प्रविष्टियों को ध्यान में रखती है, एप्लिकेशन के हस्ताक्षर की गणना या सत्यापन करते समय किसी भी अतिरिक्त बाइट्स को अनदेखा करती है।
यह समझाता है कि दूसरी ओर, एक DEX फ़ाइल में अंत में मनमाने बाइट्स हो सकते हैं - स्ट्रिंग्स, कक्षाओं, विधि परिभाषाओं आदि के नियमित अनुभागों के बाद। इसलिए, एक फ़ाइल एक ही समय में एक वैध एपीके फ़ाइल और एक वैध DEX फ़ाइल हो सकती है।
गार्डस्क्वायर यह भी उल्लेख किया गया है कि भेद्यता का एक प्रमुख तत्व डेल्विक/एआरटी वर्चुअल मशीन की "हानिरहित" सुविधा है। रिपोर्ट में कहा गया है कि सैद्धांतिक रूप से, एंड्रॉइड रनटाइम एपीके फ़ाइल को लोड करता है, इसकी DEX फ़ाइल को निकालता है और फिर इसका कोड चलाता है। हालाँकि, व्यवहार में, वर्चुअल मशीन (VM) एपीके फ़ाइलों और DEX फ़ाइलों दोनों को लोड और निष्पादित कर सकती है। मुद्दा यह है कि जब वीएम को एपीके फ़ाइल मिलती है, तब भी यह हेडर में जादुई बाइट्स को देखकर यह तय करता है कि यह किस प्रकार की फ़ाइल है: DEX या APK। DEX हेडर ढूंढने पर, यह फ़ाइल को DEX फ़ाइल के रूप में लोड करता है। यदि इसे कोई हेडर नहीं मिलता है, तो यह फ़ाइल को एक एपीके फ़ाइल के रूप में लोड करता है जिसमें DEX फ़ाइल के साथ एक ज़िप प्रविष्टि होती है। इस प्रकार, यह दोहरी DEX/APK फ़ाइलों की गलत व्याख्या कर सकता है।
गार्डस्क्वायर कहते हैं कि एक हमलावर वीएम की इस द्वंद्व सुविधा का लाभ उठाकर उसके हस्ताक्षर को प्रभावित किए बिना एक सामान्य एपीके फ़ाइल में दुर्भावनापूर्ण DEX फ़ाइल जोड़ सकता है। एंड्रॉइड रनटाइम एपीके फ़ाइल को वैध पुराने ऐप संस्करण के लिए वैध अपडेट के रूप में स्वीकार करेगा, लेकिन डेल्विक वीएम DEX फ़ाइल से कोड लोड करेगा, जिसमें दुर्भावनापूर्ण कोड डाला गया है।
आम तौर पर, जब भी कोई उपयोगकर्ता किसी ऐप का अपडेटेड वर्जन इंस्टॉल करता है, तो ऐप के हस्ताक्षर को एंड्रॉइड रनटाइम द्वारा सत्यापित किया जाता है ताकि यह सुनिश्चित किया जा सके कि यह पुराने संस्करण से मेल खाता है। जब सत्यापन सकारात्मक होता है, तो अद्यतन एप्लिकेशन को वे अनुमतियाँ मिल जाती हैं जो मूल एप्लिकेशन को दी गई थीं। इस तरह, हमलावर हस्ताक्षर सत्यापन प्रक्रिया को बायपास करने के लिए जानूस भेद्यता का उपयोग कर सकते हैं और बिना सोचे-समझे उपयोगकर्ताओं के उपकरणों पर असत्यापित कोड स्थापित कर सकते हैं।
इससे भी बुरी बात यह है कि इस असत्यापित कोड को शक्तिशाली अनुमतियों तक पहुंच मिल सकती है। यह कुछ गंभीर संभावनाओं को जन्म देता है. गार्डस्क्वायर बताता है:
"एक हमलावर अपनी अनुमतियों का दुरुपयोग करने के लिए एक संशोधित अपडेट द्वारा किसी विश्वसनीय एप्लिकेशन को उच्च विशेषाधिकारों (उदाहरण के लिए एक सिस्टम ऐप) से बदल सकता है। लक्षित एप्लिकेशन के आधार पर, यह हैकर को डिवाइस पर संग्रहीत संवेदनशील जानकारी तक पहुंचने में सक्षम कर सकता है या यहां तक कि डिवाइस को पूरी तरह से अपने कब्जे में ले सकता है। वैकल्पिक रूप से, एक हमलावर एक संवेदनशील एप्लिकेशन के संशोधित क्लोन को एक वैध अपडेट के रूप में पास कर सकता है [जो] मूल एप्लिकेशन की तरह दिख सकता है और व्यवहार कर सकता है लेकिन दुर्भावनापूर्ण व्यवहार को इंजेक्ट कर सकता है।"
कंपनी ने कहा कि अब तक, उन्होंने जंगल में जानूस का शोषण करने वाला कोई एप्लिकेशन नहीं देखा है। दूसरी अच्छी खबर यह है कि भेद्यता के लिए उपयोगकर्ता को Google Play Store के बाहर किसी स्रोत से दुर्भावनापूर्ण अपडेट इंस्टॉल करना पड़ता है। इसलिए, जो उपयोगकर्ता ऐप इंस्टॉल को प्ले स्टोर तक सीमित करते हैं वे सुरक्षित हैं।
Janus भेद्यता Android 5.0+ चलाने वाले उपकरणों को प्रभावित करती है। एपीके हस्ताक्षर योजना v1 के साथ हस्ताक्षरित एप्लिकेशन प्रभावित होते हैं। हस्ताक्षर योजना v2 के साथ हस्ताक्षरित APK भेद्यता से सुरक्षित हैं. इसके लिए आवश्यक है कि एपीके नवीनतम हस्ताक्षर योजना (एंड्रॉइड 7.0 और नए) का समर्थन करने वाले उपकरणों पर चल रहे हों। स्कीम v2 सुरक्षित है क्योंकि स्कीम v1 के विपरीत, यह एपीके फ़ाइल में सभी बाइट्स पर विचार करता है।
"एप्लिकेशन के पुराने संस्करण और पुराने उपकरणों पर चलने वाले नए एप्लिकेशन अतिसंवेदनशील रहते हैं। डेवलपर्स को कम से कम हमेशा हस्ताक्षर योजना v2 लागू करनी चाहिए," गार्डस्क्वायर राज्य.
गार्डस्क्वायर 31 जुलाई, 2017 को Google को इस समस्या की सूचना दी और उसी दिन पावती प्राप्त हुई। कंपनी की रिपोर्ट में कहा गया है कि Google ने नवंबर में अपने भागीदारों के लिए एक पैच जारी किया और 4 दिसंबर, 2017 को एंड्रॉइड सुरक्षा बुलेटिन में बग (CVE-2017-13156) प्रकाशित किया। भेद्यता है दिसंबर 2017 एंड्रॉइड सुरक्षा पैच में तय किया गया है. अलग से, उनके आधिकारिक भंडार से F-Droid अनुप्रयोगों के सुरक्षित होने की पुष्टि की गई है। अंत में, यह पुष्टि की गई है कि भेद्यता को ठीक कर दिया गया है एपीकेमिरर.
स्रोत: गार्डस्क्वायर