ऐसा लग रहा है कि स्टेजफ्राइट फिर से हमला करेगा।
सुरक्षा बग जो 2.2 और 4 के बीच एंड्रॉइड ओएस के संस्करण चलाने वाले फोन का शिकार करता है, ने अब अपने सिर को एंड्रॉइड 5.0 और इसके बाद के संस्करण पर चलने वाले उपकरणों पर हमला किया है।
जोशुआ जे ड्रेक, अनुसंधान के Zimperium zLabs उपाध्यक्ष, ने एंड्रॉइड में एक और सुरक्षा मुद्दा पाया है जिसे स्टेजफ्राइट 2.0 कहा जाता है। ड्रेक का दावा है कि दो कमजोरियां हैं जो विशेष रूप से तैयार किए गए एमपी 3 ऑडियो और MP4 वीडियो फ़ाइलों को संसाधित करते समय हो सकती हैं।
$config[code] not foundजाहिर है, एमपी 3 और MP4 फ़ाइलों के भीतर एक फ़ंक्शन है जो दूरस्थ कोड निष्पादन (RCE) की अनुमति देता है। मूल रूप से इसका मतलब है कि संक्रमित एमपी 3 और MP4 फ़ाइलें आपके एंड्रॉइड फोन पर किसी कार्य को चलाने के लिए किसी को एक्सेस दे सकती हैं। यहां तक कि केवल एक दुर्भावनापूर्ण गीत या वीडियो का पूर्वावलोकन करने से आपका फ़ोन ख़तरे में पड़ सकता है।
ड्रेक अपने ब्लॉग पोस्ट में कहते हैं कि एंड्रॉइड फोन के लिए सबसे कमजोर दृष्टिकोण एक वेब ब्राउज़र के माध्यम से है, तीन अलग-अलग तरीकों से एक हैकर सुरक्षा बग का लाभ उठा सकता है।
सबसे पहले, एक हमलावर एक URL पर जाने के लिए एक Android उपयोगकर्ता प्राप्त करने का प्रयास कर सकता है जो वास्तव में एक हमलावर नियंत्रित वेबसाइट की ओर ले जाएगा। यह एक विज्ञापन अभियान के रूप में किया जा सकता है, उदाहरण के लिए। एक बार लालच देने के बाद, पीड़ित संक्रमित एमपी 3 या एमपी 4 फ़ाइल के संपर्क में आ जाएगा।
उसी की तर्ज पर, एक हमलावर मीडिया प्लेयर की तरह एक थर्ड पार्टी ऐप का इस्तेमाल कर सकता है। इस स्थिति में, यह वह ऐप है जिसमें इन दुर्भावनापूर्ण फ़ाइलों में से एक होगी।
लेकिन एक तीसरी संभावना है कि कोई हैकर अलग रास्ता अपना सकता है।
बता दें, हैकर और एंड्रॉयड यूजर एक ही वाईफाई का इस्तेमाल कर रहे हैं। हैकर को तब उपयोगकर्ता को URL पर जाने या तृतीय-पक्ष ऐप खोलने की आवश्यकता नहीं होगी। इसके बजाय, उन्हें केवल ब्राउज़र द्वारा उपयोग किए जाने वाले उपयोगकर्ता के अनएन्क्रिप्टेड नेटवर्क ट्रैफ़िक में शोषण को इंजेक्ट करना होगा।
मूल स्टेजफ्रेट बग - जिसे ड्रेक ने इस साल की शुरुआत में भी खोजा था - मैलवेयर वाले टेक्स्ट संदेशों के माध्यम से भेद्यता के लिए एंड्रॉइड फोन खोले।
यदि किसी हैकर को आपका फोन नंबर पता था, तो एक टेक्स्ट मैसेज भेजा जा सकता है जिसमें एक दुर्भावनापूर्ण मल्टीमीडिया फ़ाइल होती है। पाठ तब हैकर को उपयोगकर्ता के डेटा और फ़ोटो तक पहुँच प्रदान कर सकता है, या फ़ोन के कैमरा या माइक्रोफ़ोन जैसे कार्यों तक पहुँच प्रदान कर सकता है।
उपयोगकर्ता प्रभावित हो सकते हैं और यह भी पता नहीं है।
मूल स्टेजफ्रेट बग के लिए एक पैच जारी किया गया था जब भेद्यता की खोज की गई थी।हालांकि पैच के साथ कुछ मुद्दे रहे हैं। कुछ रिपोर्टों ने संकेत दिया है कि मल्टीमीडिया संदेश खुलने पर पैच कुछ मामलों में फोन को क्रैश कर सकता है।
ड्रेक का कहना है कि उन्होंने धमकी के Android को सूचित किया है और कहा है कि एंड्रॉइड जल्दी से रीमेड करने के लिए चले गए हैं, हालांकि उन्हें अभी तक इस नवीनतम मुद्दे को ट्रैक करने के लिए सीवीई नंबर प्रदान करना है। Google इस सप्ताह आने वाले Nexus सुरक्षा बुलेटिन में स्टेजफ्राइट के लिए एक फिक्स शामिल है।
यदि आप अनिश्चित हैं यदि आपका एंड्रॉइड डिवाइस असुरक्षित है, तो आप कमजोरियों की जांच करने के लिए Zimperium Inc. स्टेजफ्राइट डिटेक्टर ऐप डाउनलोड कर सकते हैं।
शटरस्टॉक के माध्यम से एंड्रॉइड लॉलीपॉप फोटो
और अधिक: Google 2 टिप्पणियाँ Comments
