प्रोजेक्ट ज़ीरो के शोधकर्ताओं ने सक्रिय रूप से उपयोग की जाने वाली शून्य-दिन की सुरक्षा भेद्यता पाई है जो Google पिक्सेल उपकरणों और अन्य से समझौता करती है! पढ़ते रहिये!
अद्यतन 10/10/19 @ 3:05 पूर्वाह्न ईटी: जीरो-डे एंड्रॉइड भेद्यता को 6 अक्टूबर, 2019 सुरक्षा पैच के साथ पैच कर दिया गया है। अधिक जानकारी के लिए नीचे स्क्रॉल करें. 6 अक्टूबर, 2019 को प्रकाशित लेख नीचे दिए अनुसार संरक्षित है।
सुरक्षा इनमें से एक रही है हाल के Android अपडेट में सर्वोच्च प्राथमिकताएँ, एन्क्रिप्शन, अनुमतियों और गोपनीयता-संबंधित हैंडलिंग में सुधार और परिवर्तन कुछ प्रमुख विशेषताएं हैं। अन्य पहल जैसे एंड्रॉइड 10 के लिए प्रोजेक्ट मेनलाइन एंड्रॉइड डिवाइसों को सुरक्षित बनाने के लिए सुरक्षा अपडेट में तेजी लाने का लक्ष्य है। Google सुरक्षा पैच के मामले में भी मेहनती और समय का पाबंद रहा है, और जबकि ये प्रयास अपने आप में सराहनीय हैं, एंड्रॉइड जैसे ओएस में शोषण और कमजोरियों की गुंजाइश हमेशा बनी रहेगी। जैसा कि यह पता चला है, हमलावरों को कथित तौर पर एंड्रॉइड में शून्य-दिन की भेद्यता का सक्रिय रूप से शोषण करते हुए पाया गया है जो उन्हें Google, Huawei, Xiaomi, Samsung और अन्य के कुछ फ़ोनों पर पूर्ण नियंत्रण लेने की अनुमति देता है।
गूगल का प्रोजेक्ट जीरो टीम के पास है खुलासा जानकारी एक शून्य-दिवसीय एंड्रॉइड शोषण के बारे में, जिसके सक्रिय उपयोग को जिम्मेदार ठहराया जा रहा है एनएसओ समूहहालांकि एनएसओ के प्रतिनिधियों ने इसके इस्तेमाल से इनकार किया है को आर्सटेक्निका. यह शोषण एक कर्नेल विशेषाधिकार वृद्धि है जो इसका उपयोग करता है का उपयोग के बाद नि: शुल्क भेद्यता, हमलावर को एक कमजोर डिवाइस से पूरी तरह समझौता करने और उसे रूट करने की अनुमति देती है। चूंकि शोषण क्रोम सैंडबॉक्स से भी पहुंच योग्य है, इसे एक बार वेब के माध्यम से भी वितरित किया जा सकता है इसे एक ऐसे शोषण के साथ जोड़ा गया है जो क्रोम में उस कोड में भेद्यता को लक्षित करता है जिसका उपयोग रेंडर करने के लिए किया जाता है सामग्री।
सरल भाषा में, एक हमलावर प्रभावित उपकरणों पर एक दुर्भावनापूर्ण एप्लिकेशन इंस्टॉल कर सकता है और उपयोगकर्ता की जानकारी के बिना रूट हासिल कर सकता है, और जैसा कि हम सभी जानते हैं, उसके बाद रास्ता पूरी तरह से खुल जाता है। और चूंकि इसे क्रोम ब्राउज़र में किसी अन्य शोषण के साथ जोड़ा जा सकता है, इसलिए हमलावर भी इसे अंजाम दे सकता है वेब ब्राउज़र के माध्यम से दुर्भावनापूर्ण एप्लिकेशन, भौतिक पहुंच की आवश्यकता को हटा देता है उपकरण। यदि यह आपको गंभीर लगता है, तो ऐसा इसलिए है क्योंकि यह निश्चित रूप से है - एंड्रॉइड पर भेद्यता को "उच्च गंभीरता" के रूप में मूल्यांकित किया गया है। इससे भी बुरी बात यह है कि इस शोषण के लिए प्रति-डिवाइस अनुकूलन की बहुत कम या कोई आवश्यकता नहीं है, और प्रोजेक्ट ज़ीरो के शोधकर्ताओं के पास इस शोषण के जंगली में उपयोग किए जाने का सबूत भी है।
भेद्यता को स्पष्ट रूप से दिसंबर 2017 में पैच किया गया था लिनक्स कर्नेल 4.14 एलटीएस रिलीज़ लेकिन ट्रैकिंग सीवीई के बिना। फ़िक्स को फिर संस्करणों में शामिल किया गया 3.18, 4.4, और 4.9 एंड्रॉइड कर्नेल का। हालाँकि, यह समाधान एंड्रॉइड सुरक्षा अपडेट में शामिल नहीं हुआ, जिससे कई डिवाइस इस दोष की चपेट में आ गए, जिसे अब CVE-2019-2215 के रूप में ट्रैक किया जा रहा है।
जिन उपकरणों को प्रभावित पाया गया है उनकी "गैर-विस्तृत" सूची इस प्रकार है:
- गूगल पिक्सेल
- गूगल पिक्सेल एक्सएल
- गूगल पिक्सेल 2
- गूगल पिक्सेल 2 XL
- हुआवेई P20
- शाओमी रेडमी 5ए
- शाओमी रेडमी नोट 5
- Xiaomi Mi A1
- ओप्पो A3
- मोटो Z3
- LG फ़ोन Android Oreo पर चलते हैं
- सैमसंग गैलेक्सी S7
- सैमसंग गैलेक्सी S8
- सैमसंग गैलेक्सी S9
हालाँकि, जैसा कि उल्लेख किया गया है, यह एक विस्तृत सूची नहीं है, जिसका अर्थ है कि कई अन्य उपकरणों की भी संभावना है सितंबर से नए एंड्रॉइड सुरक्षा अपडेट होने के बावजूद इस भेद्यता से प्रभावित हुए हैं 2019. Google Pixel 3 और Pixel 3 XL और Google Pixel 3a और Pixel 3a XL को इस भेद्यता से सुरक्षित बताया गया है। प्रभावित पिक्सेल उपकरणों में आगामी अक्टूबर 2019 एंड्रॉइड सुरक्षा अपडेट में भेद्यता को पैच किया जाएगा, जो एक या दो दिन में लाइव हो जाना चाहिए। "यह सुनिश्चित करने के लिए कि एंड्रॉइड पारिस्थितिकी तंत्र समस्या से सुरक्षित है", एंड्रॉइड भागीदारों के लिए एक पैच उपलब्ध कराया गया है यह देखते हुए कि कुछ ओईएम अपडेट के बारे में कितने लापरवाह और बेपरवाह हैं, हम समय पर सुधार प्राप्त करने में अपनी सांसें नहीं रोकेंगे। ढंग।
प्रोजेक्ट ज़ीरो अनुसंधान टीम ने यह प्रदर्शित करने के लिए एक स्थानीय प्रूफ-ऑफ-कॉन्सेप्ट शोषण साझा किया है कि इस बग का उपयोग स्थानीय रूप से चलने पर मनमाने ढंग से कर्नेल पढ़ने/लिखने के लिए कैसे किया जा सकता है।
प्रोजेक्ट ज़ीरो अनुसंधान टीम ने भविष्य के ब्लॉग पोस्ट में बग और इसे पहचानने की पद्धति का अधिक विस्तृत विवरण प्रदान करने का वादा किया है। आर्सटेक्निका उनका मानना है कि इस तरह के महंगे और लक्षित हमलों द्वारा शोषण किए जाने की संभावना बेहद कम है; और उपयोगकर्ताओं को अभी भी गैर-आवश्यक ऐप्स इंस्टॉल करने से बचना चाहिए और पैच इंस्टॉल होने तक गैर-क्रोम ब्राउज़र का उपयोग करना चाहिए। हमारी राय में, हम यह जोड़ना चाहेंगे कि अपने डिवाइस के लिए अक्टूबर 2019 सुरक्षा पैच पर ध्यान देना और इसे जल्द से जल्द इंस्टॉल करना भी समझदारी होगी।
स्रोत: प्रोजेक्ट जीरो
कहानी के माध्यम से: आर्सटेक्निका
अपडेट: ज़ीरो-डे एंड्रॉइड भेद्यता को अक्टूबर 2019 सुरक्षा अपडेट के साथ पैच कर दिया गया है
CVE-2019-2215 जो उपर्युक्त कर्नेल विशेषाधिकार वृद्धि भेद्यता से संबंधित है पैच कर दिया गया है साथ अक्टूबर 2019 सुरक्षा पैच, विशेष रूप से सुरक्षा पैच स्तर 2019-10-06 के साथ, जैसा कि वादा किया गया था। यदि आपके डिवाइस के लिए कोई सुरक्षा अद्यतन उपलब्ध है, तो हम इसे जल्द से जल्द इंस्टॉल करने की अत्यधिक अनुशंसा करते हैं।
स्रोत: Android सुरक्षा बुलेटिन
के जरिए: ट्विटर: @maddiestone