यदि आपके पास मार्च 2023 सुरक्षा अद्यतन नहीं है, तो आपको संभवतः वाई-फ़ाई कॉलिंग और VoLTE को अक्षम कर देना चाहिए।
हम अपने जीवन की हर चीज़ के लिए अपने स्मार्टफ़ोन पर भरोसा करते हैं, और बदले में, हम उम्मीद करते हैं कि वे सुरक्षित रहेंगे और हमलों से सुरक्षित रहेंगे। वह है आम तौर पर मामला, और मासिक सुरक्षा अपडेट हमारे डेटा की सुरक्षा में काफी मदद करते हैं। हालाँकि, यदि आपके पास ए गूगल पिक्सेल या ए सैमसंग फोन, आपको शायद सावधान रहना चाहिए। Google की प्रोजेक्ट ज़ीरो, इसकी बग-शिकार टीम ने प्रभावित करने वाली अठारह सुरक्षा कमजोरियों की पहचान की है Exynos मॉडेम, और उनका संयोजन एक हमलावर को आपके बिना भी आपके स्मार्टफोन पर पूर्ण नियंत्रण दे सकता है जानना.
कमजोरियाँ 2022 के अंत और 2023 की शुरुआत में खोजी गईं, और अठारह कमजोरियों में से चार इन्हें सबसे महत्वपूर्ण माना जाता है क्योंकि वे केवल पीड़ित के फोन से रिमोट कोड निष्पादन को सक्षम करते हैं संख्या। सबसे गंभीर कारनामों में से केवल एक को सार्वजनिक रूप से निर्दिष्ट सामान्य कमजोरियां और एक्सपोजर (सीवीई) नंबर दिया गया है। Google ने सामान्य बग प्रकटीकरण के एक दुर्लभ अपवाद में इस भेद्यता से जुड़े कई सीवीई को रोक दिया है शिष्टाचार।
Google के प्रोजेक्ट ज़ीरो के अनुसार, निम्नलिखित डिवाइस प्रभावित हैं।
- सैमसंग के मोबाइल डिवाइस, जिनमें S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 और A04 श्रृंखला शामिल हैं;
- वीवो के मोबाइल डिवाइस, जिनमें S16, S15, S6, X70, X60 और X30 श्रृंखला के डिवाइस शामिल हैं;
- Google के Pixel 6 और Pixel 7 श्रृंखला के उपकरण; और
- कोई भी वाहन जो Exynos Auto T5123 चिपसेट का उपयोग करता है।
इस बग को मार्च सिक्योरिटी अपडेट में ठीक कर दिया गया है, जो कि Pixel 7 सीरीज में पहले से मौजूद है। हालाँकि, Pixel 6 सीरीज़ में अभी तक यह नहीं है, और Google का कहना है कि जो उपयोगकर्ता अनपैच्ड डिवाइस का उपयोग कर रहे हैं, उन्हें VoLTE और वाई-फाई कॉलिंग को अक्षम कर देना चाहिए। प्रोजेक्ट ज़ीरो के प्रमुख टिम विलिस ने कहा कि "सीमित अतिरिक्त अनुसंधान और विकास के साथ, हमारा मानना है कि कुशल हमलावर होंगे चुपचाप और दूर से प्रभावित उपकरणों से समझौता करने के लिए शीघ्रता से एक परिचालन शोषण बनाने में सक्षम।" दूसरे शब्दों में, एक उपयोगकर्ता अपने पास रख सकता है डिवाइस से छेड़छाड़ की गई है और संभावित रूप से इसके बारे में पता भी नहीं चल पाया है, और ऐसा लगता है कि कुछ हमलावरों के लिए इसे ढूंढना और इसका फायदा उठाना बहुत आसान हो सकता है कुंआ।
जहां तक उस प्रमुख कारनामे की बात है जिसके बारे में हमारे पास जानकारी है, सीवीई-2023-24033, इसका विवरण बस इतना कहता है कि प्रभावित बेसबैंड मॉडेम चिपसेट " सत्र विवरण प्रोटोकॉल (एसडीपी) मॉड्यूल द्वारा निर्दिष्ट प्रारूप प्रकारों की ठीक से जांच न करें, जिससे सेवा से इनकार किया जा सकता है। इस संदर्भ में सेवा का आम तौर पर मतलब यह है कि एक हमलावर आपके फोन को दूर से लॉक कर सकता है और आपको इसका उपयोग करने से रोक सकता है, हालांकि कोई अतिरिक्त विवरण नहीं है दिया जाता है।
अन्य चौदह कमजोरियाँ (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, सीवीई-2023-26076, और नौ अन्य जो सीवीई की प्रतीक्षा कर रहे हैं) उतने महत्वपूर्ण नहीं हैं लेकिन फिर भी अंत तक जोखिम उठाते हैं उपयोगकर्ता. सफल शोषण के लिए, उन्हें "या तो एक दुर्भावनापूर्ण मोबाइल नेटवर्क ऑपरेटर या डिवाइस तक स्थानीय पहुंच वाले हमलावर की आवश्यकता होती है।"
जो उपयोगकर्ता अपडेट का इंतजार कर रहे हैं और प्रभावित डिवाइस का उपयोग कर रहे हैं, वे अभी के लिए VoLTE और वाई-फाई कॉलिंग को अक्षम करना सुनिश्चित करें। यदि आपके पास मार्च सुरक्षा अद्यतन उपलब्ध है, लेकिन अभी तक अपडेट नहीं किया है, तो ऐसा करने का समय आ गया है।
स्रोत: गूगल प्रोजेक्ट जीरो