सैमसंग, एलजी फोन लीक हुए प्रमाणपत्रों के कारण कमजोर, Google ढूँढता है
[ad_1]
Google के एंड्रॉइड पार्टनर भेद्यता पहल, एक प्रमुख सुरक्षा रिसाव प्रवेश में, एक नई प्रमुख भेद्यता का खुलासा किया है जिसने सैमसंग और एलजी जैसे प्रमुख ब्रांडों से एंड्रॉइड स्मार्टफोन को प्रभावित किया है। एंड्रॉइड ओईएम द्वारा उपयोग की जाने वाली हस्ताक्षर कुंजियों के लीक होने के कारण, नकली ऐप या मैलवेयर खुद को “विश्वसनीय” ऐप के रूप में बदल सकते हैं। यह समस्या इस साल मई में सामने आई थी, जिसके बाद सैमसंग सहित कई कंपनियों ने भेद्यता को नियंत्रित करने के लिए कार्रवाई की।
Google कर्मचारी Łukasz Siwierski द्वारा सुरक्षा दोष को प्रकाश में लाया गया (के जरिए एस्पर के मिशाल रहमान)। सिरविएर्स्की ने अपने ट्वीट के जरिए खुलासा किया कि कैसे एंड्रॉइड पर मैलवेयर ऐप्स को साइन करने के लिए प्लेटफॉर्म सर्टिफिकेट का इस्तेमाल किया गया है।
लोग, यह बुरा है। बहुत बहुत बुरा। हैकर्स और/या दुर्भावनापूर्ण अंदरूनी सूत्रों ने कई विक्रेताओं के प्लेटफ़ॉर्म प्रमाणपत्र लीक कर दिए हैं। इनका उपयोग एंड्रॉइड बिल्ड पर सिस्टम ऐप्स पर हस्ताक्षर करने के लिए किया जाता है, जिसमें “एंड्रॉइड” ऐप भी शामिल है। दुर्भावनापूर्ण Android ऐप्स पर हस्ताक्षर करने के लिए इन प्रमाणपत्रों का उपयोग किया जा रहा है! https://t.co/lhqZxuxVR9
– मिशाल रहमान (@ मिशाल रहमान) 1 दिसंबर, 2022
इस मुद्दे के केंद्र में एक निहित है एंड्रॉयड प्लेटफ़ॉर्म कुंजी भरोसेमंद तंत्र भेद्यता जिसका दुर्भावनापूर्ण हमलावरों द्वारा शोषण किया जा सकता है। डिज़ाइन के अनुसार, एंड्रॉइड किसी भी एप्लिकेशन पर भरोसा करता है जो एक वैध प्लेटफ़ॉर्म साइनिंग कुंजी का उपयोग करता है, जिसका उपयोग एंड्रॉइड के साझा उपयोगकर्ता आईडी सिस्टम के माध्यम से कोर सिस्टम एप्लिकेशन पर हस्ताक्षर करने के लिए किया जाता है।
हालांकि, एंड्रॉइड ओरिजिनल इक्विपमेंट मैन्युफैक्चरर्स (ओईएम) की प्लेटफॉर्म साइनिंग कीज लीक हो गई हैं, जिससे मैलवेयर क्रिएटर्स को टारगेट डिवाइस पर सिस्टम-लेवल परमिशन हासिल करने में मदद मिलती है। यह हमलावर के लिए विशेष डिवाइस पर सभी उपयोगकर्ता डेटा उपलब्ध कराएगा, ठीक उसी तरह जैसे निर्माता से एक ही प्रमाणपत्र के साथ हस्ताक्षरित एक अन्य सिस्टम ऐप।
भेद्यता के बारे में एक और खतरनाक बात यह है कि इसके लिए उपयोगकर्ता को एक नया या “अज्ञात” एप्लिकेशन इंस्टॉल करने की आवश्यकता नहीं है। लीक हुई प्लेटफ़ॉर्म कुंजियों का उपयोग सामान्य विश्वसनीय ऐप्स जैसे हस्ताक्षर करने के लिए भी किया जा सकता है बिक्सबी ऐप पर ए सैमसंग उपकरण। एक उपयोगकर्ता जिसने किसी तीसरे पक्ष की वेबसाइट से इस तरह के एप्लिकेशन को डाउनलोड किया है, उसे अपने स्मार्टफोन पर इंस्टॉल करते समय चेतावनी नहीं दिखाई देगी, क्योंकि प्रमाणपत्र उनके सिस्टम पर मौजूद एक से मेल खाएगा।
गूगलहालांकि, स्पष्ट रूप से उन उपकरणों या ओईएम की सूची का उल्लेख नहीं किया है जो अब तक इसकी महत्वपूर्ण भेद्यता से प्रभावित हुए हैं सार्वजनिक प्रकटीकरण. फिर भी, प्रकटीकरण में नमूना मालवेयर फ़ाइलों की एक सूची शामिल है। मंच तब से है कथित तौर पर प्रभावित स्मार्टफोन की सूची की पुष्टि की, जिसमें सैमसंग के उपकरण शामिल हैं, एलजी, मीडियाटेक, Xiaomi और पुनरावलोकन।
सर्च जायंट ने प्रभावित कंपनियों के लिए इस मुद्दे को कम करने के तरीके भी सुझाए हैं। पहले चरण में एंड्रॉइड प्लेटफ़ॉर्म साइनिंग कीज़ को मंथन करना शामिल है, जिन्हें लीक होने के लिए फ़्लैग किया गया है और उन्हें नई साइनिंग कीज़ के साथ बदल दिया गया है। कंपनी ने सभी एंड्रॉइड मैन्युफैक्चरर्स से आग्रह किया है कि वे ऐप के लिए अन्य ऐप्स पर हस्ताक्षर करने के लिए प्लेटफॉर्म की के लगातार उपयोग को कम से कम करें।
Google के अनुसार, यह समस्या पहली बार मई में सामने आई थी। तब से, सैमसंग और अन्य सभी प्रभावित कंपनियों ने पहले से मौजूद कमजोरियों को कम करने और कम करने के लिए उपचारात्मक कार्रवाई की है। हालाँकि, Android पुलिस के अनुसार, प्रकटीकरण में सूचीबद्ध कुछ कमजोर कुंजियाँ हाल ही में थीं ऐप्स के लिए उपयोग किया जाता है एपीके मिरर पर अपलोड किए गए सैमसंग और एलजी फोन के लिए।
Google ने BleepingComputer को दिए एक बयान में कहा, “जैसे ही हमने प्रमुख समझौते की सूचना दी, ओईएम भागीदारों ने शमन उपायों को तुरंत लागू कर दिया। अंतिम उपयोगकर्ताओं को ओईएम भागीदारों द्वारा लागू उपयोगकर्ता शमन द्वारा संरक्षित किया जाएगा।”
एंड्रॉइड पर उपयोगकर्ताओं को सलाह दी जाती है कि वे अपने फर्मवेयर संस्करणों को नवीनतम उपलब्ध अपडेट में अपडेट करें ताकि संभावित सुरक्षा खामियों से सुरक्षित रहें, जैसे कि Google द्वारा खुलासा किया गया है, और तीसरे पक्ष के स्रोतों से ऐप डाउनलोड करते समय सतर्क रहें।
[ad_2]
Source link
