एंड्रॉइड ओरेओ के ऑटोफिल एपीआई में एक संभावित सुरक्षा दोष पासवर्ड प्रबंधकों को पासवर्ड, पते या क्रेडिट कार्ड जैसे डेटा लीक करने की अनुमति देता है।
स्वत: भरण Android 8.0 Oreo के रिलीज़ के साथ पेश की गई सबसे बड़ी और सबसे अधिक प्रचारित नई सुविधाओं में से एक है। लास्टपास जैसे कई अलग-अलग पासवर्ड प्रबंधन ऐप्स ने पहले ही इस नए एपीआई को अपने अनुप्रयोगों में लागू कर दिया है। और जबकि यह साबित हो सकता है काफी सुधार हुआ एक्सेसिबिलिटी सेवाओं का उपयोग करते हुए पिछले ऑटोफिल कार्यान्वयन में, विचार करने के लिए एक संभावित सुरक्षा दोष है। पिछले महीने, GitHub पर एक श्वेत पत्र प्रकाशित किया गया था, जिसमें Android Oreo Autofill API में एक अंतर्निहित दोष का दस्तावेजीकरण किया गया था। इससे संभावित रूप से आपका पासवर्ड मैनेजर आपका निजी डेटा आपकी अनुमति से अधिक लीक कर सकता है. हम मार्क मर्फी (जिसे इस नाम से बेहतर जाना जाता है) द्वारा लिखित श्वेत पत्र का एक त्वरित सारांश बनाने जा रहे हैं कॉमन्सवेयर) और 8 अगस्त, 2017 को उनके GitHub पेज पर प्रकाशित किया गया।
Android Oreo के ऑटोफ़िल API में संभावित डेटा लीक दोष
दोष कैसे काम करता है?
एंड्रॉइड नौगट (और निचले संस्करणों) और Google Chrome जैसे ब्राउज़र में ऑटोफ़िल कार्यान्वयन वास्तव में सरल है। आमतौर पर, पासवर्ड प्रबंधन ऐप्स लॉगिन बॉक्स के लिए स्क्रीन सामग्री को स्कैन करने के लिए एक्सेसिबिलिटी सेवाओं का उपयोग करते हैं और जो मिलता है उसके आधार पर ऑटोफिल डेटा की अनुशंसा करते हैं। जबकि यह काम किया, यह काफी अंतराल का कारण बन सकता है.
Android Oreo पर, यह थोड़ा अलग तरीके से काम करता है, क्योंकि पासवर्ड ऐप्स अब आधिकारिक तौर पर ऑटोफिल एपीआई के साथ समर्थित हैं। थर्ड पार्टी पासवर्ड एप्लिकेशन को अब एक्सेसिबिलिटी सेवाओं की आवश्यकता नहीं है, क्योंकि वे अब ऑटोफिल फ्रेमवर्क के माध्यम से ऐप्स के साथ संचार करके ऑटोफिल सेवा की भूमिका निभा सकते हैं। जब उपयोगकर्ता किसी विजेट पर ध्यान केंद्रित करता है, तो सिस्टम उस विजेट/फॉर्म के बारे में कुछ जानकारी पैकेज करेगा और इसे ऑटोफिल ऐप पर भेज देगा। एप्लिकेशन तब प्रासंगिक ऑटोफ़िल डेटा जैसे पासवर्ड, ईमेल, क्रेडिट कार्ड, या किसी अन्य प्रकार का संवेदनशील डेटा लौटाता है। एंड्रॉइड सिस्टम डेटा संग्रहीत करने वाले एप्लिकेशन और इसके लिए अनुरोध करने वाले एप्लिकेशन के बीच मध्यस्थ के रूप में कार्य करता है।
हालाँकि, दुर्भावनापूर्ण ऐप्स या मैलवेयर वास्तव में अपने लिए अधिक डेटा प्राप्त करने के लिए ऑटोफ़िल सुविधा का लाभ उठा सकते हैं। कोई दुर्भावनापूर्ण गतिविधि हो सकती है किसी अदृश्य या छिपे हुए विजेट के साथ इनपुट करने के लिए अतिरिक्त ऑटोफ़िल डेटा का अनुरोध करें. जबकि उपयोगकर्ता दृश्यमान विजेट में से किसी एक को भरने के लिए सहमत हो रहा है, जैसे लॉगिन फॉर्म या कुछ इसी तरह, अदृश्य विजेट को आपके देखे बिना भी अतिरिक्त डेटा मिलता है। यह वास्तव में खतरनाक हो सकता है यदि लीक हुई जानकारी आपका पासवर्ड, पता या क्रेडिट कार्ड विवरण है!
ऊपर दिए गए स्क्रीनशॉट इस सुरक्षा खामी का फायदा उठाते हुए एक दुर्भावनापूर्ण परीक्षण एप्लिकेशन को दिखाते हैं।
समस्या पर Google का उत्तर
कॉमन्सवेयर के अनुसार, इस सुरक्षा समस्या का अभी तक Google द्वारा कोई सार्वजनिक समाधान पोस्ट नहीं किया गया है। हालाँकि, हम जानते हैं कि Google को इस मुद्दे की जानकारी है। कॉमन्सवेयर का कहना है कि Google इंजीनियरों ने स्वीकार किया कि समस्या एक निजी समस्या ट्रैकर रिपोर्ट में मौजूद है, लेकिन यह है वास्तव में इसे पैच करना कठिन (यदि असंभव नहीं) होगा या एक फिक्स रोल आउट करें।
लेकिन इसका मतलब यह नहीं है कि ऑटोफ़िल का उपयोग करना पूरी तरह से असुरक्षित है, क्योंकि Google डेटा सुरक्षा सुनिश्चित करने के लिए एक और तरीका अपना रहा है। कंपनी है ऑटोफ़िल सेवाएँ अपनी ओर से समस्या को संभालने पर ज़ोर दे रही हैं और इस तरह, डेवलपर्स के बीच अपने ऑटोफिल प्रदाताओं को बेहतर बनाने और उन्हें सुरक्षित बनाने के लिए जागरूकता बढ़ाने की कोशिश की जा रही है। वास्तव में क्या प्रस्तावित किया जा रहा है?
सबसे पहले, ऑटोफ़िल प्रदाता अपने डेटा का विभाजन करना चाहिए. सभी ऑटोफ़िल डेटा को एक पूल में रखने के बजाय, डेवलपर्स को संग्रहीत उपयोगकर्ता डेटा को विभाजन में विभाजित करना चाहिए। उदाहरण के लिए, एक पता/फोन विभाजन, एक क्रेडिट कार्ड विभाजन, एक पासवर्ड/उपयोगकर्ता नाम विभाजन, आदि। ऑटोफ़िल सेवा को फ़ोकस किए गए विजेट के आधार पर एक समय में केवल एक विभाजन का डेटा वापस देना चाहिए। यह इनमें से एक है सार्वजनिक रूप से उपलब्ध पृष्ठ ऑटोफ़िल ऐप्स स्वयं को अदृश्य विजेट में डेटा लीक होने से बचाते हैं।
Google इंजीनियरों के अनुसार, कुछ अन्य चीजें भी हैं जो पासवर्ड प्रबंधकों के डेवलपर्स को करनी चाहिए। उदाहरण के लिए, ऑटोफ़िल प्रदाता को डेटा केवल उस विशिष्ट ऐप को वापस सौंपना चाहिए जिसने इसे पहले स्थान पर आपूर्ति की थी। यह पैकेज के नाम और एप्लिकेशन के सार्वजनिक हस्ताक्षर को सत्यापित करके किया जाना चाहिए ताकि एक संशोधित एपीके भी उस तक नहीं पहुंच सके। दूसरी बात यह होगी कि ऑटोफिल ऐप्स को वास्तव में डेटा प्रदान करने से पहले प्रमाणीकरण की आवश्यकता होती है वह प्रमाणीकरण गतिविधि उपयोगकर्ता को सूचित करती है कि अनुरोध करने वाले ऐप को किस प्रकार का डेटा प्रदान किया जाएगा। इस सलाह में वास्तव में कई गलतियाँ हैं, सबसे महत्वपूर्ण यह है कि सलाह के इन अंशों को वास्तव में Google द्वारा लागू नहीं किया जाता है।
ध्यान रखें कि उपरोक्त कई प्रस्ताव कॉमन्सवेयर की निजी समस्या ट्रैकर रिपोर्ट से लिए गए थे, न कि किसी आधिकारिक Google दस्तावेज़ पृष्ठ से। ऑटोफिल एपीआई का उपयोग करने वाले ऐप्स खुद को इस तरह के हमले से कैसे बचा सकते हैं, इसकी अधिक तकनीकी जानकारी के लिए, हम दृढ़ता से अनुशंसा करते हैं कि आप इसे पढ़ें कॉमन्सवेयर द्वारा पूर्ण श्वेत पत्र.
कौन से ऐप्स इस दोष से सुरक्षित हैं?
हमने इस भेद्यता के बारे में 1Password, Enpass, और LastPass के डेवलपर्स से संपर्क किया है, और इन 3 ऐप्स के पीछे की सुरक्षा टीमों ने दावा किया कि वे लोग सुरक्षितहालाँकि हमने अभी तक इन दावों की पुष्टि नहीं की है।
जैसा कि हम उपरोक्त कथनों में देख सकते हैं, 1Password को डेटा भरने से पहले उपयोगकर्ता से प्रमाणीकरण की आवश्यकता होती है, साथ ही उन्हें यह भी सूचित करना होता है कि कौन सा डेटा पहले से भरा जाएगा। इससे साइलेंट फिलिंग की समस्या में भी मदद मिलती है, क्योंकि ऑटोफिल डेटा मांगने वाली प्रत्येक गतिविधि के लिए एक प्रमाणीकरण पॉपअप दिखाई देगा।
एनपास कभी भी अनुरोध करने वाले ऐप को संपूर्ण किचेन प्रकट नहीं करेगा, चाहे वह दुर्भावनापूर्ण हो या वास्तविक। अनुरोध करने वाले ऐप के पैकेज नाम से मेल खाने वाले केवल सहेजे गए आइटम ही उपयोगकर्ता को प्रस्तुत किए जाएंगे। उन्होंने यह भी पुष्टि की कि Google की सलाह के बाद उनके पास और अधिक उपाय होंगे।
इसके अलावा, लास्टपास ने हमें पुष्टि की कि, हालांकि उन्हें एंड्रॉइड ओरेओ रिलीज़ से पहले समस्या के बारे में पता नहीं था, उनका ऐप इसका उपयोग करता है उपयोगकर्ताओं की सुरक्षा के लिए डेटा विभाजन, अन्य जाँचों के साथ-साथ यह सुनिश्चित करने के लिए कि लास्टपास केवल प्रविष्टि से जुड़े ऐप में ही भरता है।
हालाँकि इन 3 अनुप्रयोगों का उपयोग करने में बिल्कुल कोई समस्या नहीं होनी चाहिए, यदि आप पूरी तरह से स्पष्ट रहना चाहते हैं, तो आपको अक्षम करना चाहिए जब तक आप अपने पासवर्ड मैनेजर डेवलपर से पुष्टि नहीं कर लेते कि उनका ऐप इस लाइन से सुरक्षित है, तब तक यह आपके फोन पर पूरी तरह से ऑटोफिल होगा आक्रमण करना। सौभाग्य से यह सेटिंग्स > सिस्टम > भाषाएँ और इनपुट > उन्नत पर जाकर और "ऑटोफ़िल सेवा" प्राथमिकता ढूंढकर, उस पर टैप करके और "कोई नहीं" चुनकर आसानी से किया जा सकता है।
जैसा कि हमने ऊपर कहा, यह ज्ञात नहीं है कि Google वास्तव में इसके लिए कोई समाधान निकाल सकता है या नहीं, इसलिए विश्वसनीय ऐप्स का उपयोग करना या सुविधा को अक्षम करना ही एकमात्र तरीका है जिससे आप सुरक्षित रह सकते हैं। यदि आप इस मुद्दे और इससे जुड़े सभी विवरणों पर अधिक पढ़ना चाहते हैं, तो आपको मूल को पढ़ना चाहिए इसका दस्तावेजीकरण करने वाला श्वेत पत्र GitHub पर.
लास्टपास, एनपास और 1पासवर्ड की प्रतिक्रियाओं के निहितार्थ को अधिक सटीक रूप से दर्शाने के लिए इस लेख को 9/13/17 को अपडेट किया गया था।