एंड्रॉइड का स्टेजफ्राइट एक्सप्लॉइट आपको क्या जानना चाहिए और खुद को कैसे सुरक्षित रखें
एंड्रॉइड में "स्टेजफ्राइट" नामक एक घटक में भारी सुरक्षा बग है, बस एक दुर्भावनापूर्ण एमएमएस संदेश प्राप्त करने से आपके फोन में समझौता हो सकता है। यह आश्चर्य की बात है कि हमने एक कीड़ा को फोन से फोन पर फैलते नहीं देखा है जैसे कि शुरुआती विंडोज एक्सपी दिनों में कीड़े हो गए थे - सभी सामग्री यहां हैं.
यह वास्तव में लगता है की तुलना में थोड़ा खराब है। मीडिया ने मोटे तौर पर एमएमएस हमले की विधि पर ध्यान केंद्रित किया है, लेकिन यहां तक कि वेब पेज या ऐप में एम्बेडेड MP4 वीडियो आपके फोन या टैबलेट से समझौता कर सकते हैं.
क्यों स्टेजफ्रंट दोष खतरनाक है - यह सिर्फ एमएमएस नहीं है
कुछ टिप्पणीकारों ने इस हमले को "स्टेजफ्राइट" कहा है, लेकिन यह वास्तव में एंड्रॉइड में स्टेजफ्राइट नामक एक घटक पर हमला है। यह एंड्रॉइड में एक मल्टीमीडिया प्लेयर घटक है। इसकी एक भेद्यता है जिसका शोषण किया जा सकता है - सबसे खतरनाक रूप से एक एमएमएस के माध्यम से, जो एम्बेडेड मल्टीमीडिया घटकों के साथ एक पाठ संदेश है.
कई Android फोन निर्माताओं ने स्टेजफ्राइट सिस्टम की अनुमति देने के लिए अनजाने में चुना है, जो रूट एक्सेस से एक कदम नीचे है। स्टेजफ्राइट को एक्सप्लॉइट करना हमलावर को "मीडिया" या "सिस्टम" अनुमतियों के साथ arbtirary कोड चलाने की अनुमति देता है, यह इस बात पर निर्भर करता है कि डिवाइस कैसे कॉन्फ़िगर किया गया है। सिस्टम अनुमतियाँ हमलावर को मूल रूप से उनके उपकरण को पूरा करने का मौका देती हैं। जिम्परियम, संगठन जिसने इस मुद्दे की खोज की और रिपोर्ट की, अधिक विवरण प्रस्तुत करता है.
विशिष्ट एंड्रॉइड टेक्स्ट मैसेजिंग ऐप स्वचालित रूप से आने वाले एमएमएस संदेशों को पुनः प्राप्त करते हैं। इसका मतलब है कि आपको किसी व्यक्ति द्वारा टेलीफोन नेटवर्क पर संदेश भेजने से समझौता किया जा सकता है। आपके फ़ोन के साथ छेड़छाड़ करने पर, इस भेद्यता का उपयोग करने वाला एक कीड़ा आपके संपर्कों को पढ़ सकता है और आपके संपर्कों में दुर्भावनापूर्ण MMS संदेश भेज सकता है, मेलिसा वायरस की तरह जंगल की आग की तरह फैलता है जिसने 1999 में आउटलुक और ईमेल संपर्कों का उपयोग करके वापस किया.
प्रारंभिक रिपोर्ट में MMS पर ध्यान केंद्रित किया गया था क्योंकि यह सबसे संभावित खतरनाक वेक्टर स्टेजफ्राइट का लाभ ले सकता था। लेकिन यह सिर्फ एमएमएस नहीं है। जैसा कि ट्रेंड माइक्रो ने बताया, यह भेद्यता "औसत दर्जे का" घटक में है और एक वेब पेज पर एम्बेडेड एक दुर्भावनापूर्ण MP4 फ़ाइल इसका फायदा उठा सकती है - हाँ, बस अपने वेब ब्राउज़र में एक वेब पेज पर नेविगेट करके। एक MP4 फ़ाइल एक ऐप में एम्बेडेड है जो आपके डिवाइस का फायदा उठाना चाहती है.
क्या आपका स्मार्टफोन या टैबलेट कमजोर है?
आपका एंड्रॉइड डिवाइस संभवतः कमजोर है। जंगली में पचहत्तर प्रतिशत Android डिवाइस स्टेजफ्राइट की चपेट में है.
सुनिश्चित करने के लिए, Google Play से स्टेजफ्राइट डिटेक्टर ऐप इंस्टॉल करें। यह ऐप Zimperium द्वारा बनाया गया था, जिसने स्टेजफ्राइट भेद्यता की खोज और रिपोर्ट की थी। यह आपके डिवाइस की जांच करेगा और आपको बताएगा कि स्टेजफ्राइट को आपके एंड्रॉइड फोन पर पैच किया गया है या नहीं.
यदि आप कमजोर हैं तो स्टेजफ्राइट हमलों को कैसे रोकें
जहां तक हम जानते हैं, एंड्रॉइड एंटीवायरस ऐप्स आपको स्टेजफ्राइट हमलों से नहीं बचाएंगे। जरूरी नहीं कि उनके पास एमएमएस संदेशों को समझने और सिस्टम घटकों के साथ हस्तक्षेप करने के लिए पर्याप्त सिस्टम अनुमति हो। Google इस बग को ठीक करने के लिए एंड्रॉइड में Google Play Services घटक को भी अपडेट नहीं कर सकता है, सुरक्षा पैच दिखाने पर Google अक्सर एक पैचवर्क समाधान काम करता है.
वास्तव में अपने आप को समझौता करने से रोकने के लिए, आपको अपने मैसेजिंग ऐप को एमएमएस संदेशों को डाउनलोड करने और लॉन्च करने से रोकने की आवश्यकता है। सामान्य तौर पर, इसका अर्थ है "MMS ऑटो-रिट्रीवल" सेटिंग में इसकी सेटिंग को अक्षम करना। जब आप एक MMS संदेश प्राप्त करते हैं, तो यह स्वचालित रूप से डाउनलोड नहीं होगा - आपको इसे प्लेसहोल्डर या कुछ इसी तरह टैप करके डाउनलोड करना होगा। जब तक आप एमएमएस डाउनलोड करने का विकल्प नहीं चुनेंगे, आपको जोखिम नहीं होगा.
आपको ऐसा नहीं करना चाहिए। यदि MMS किसी ऐसे व्यक्ति से है जिसे आप नहीं जानते हैं, तो उसे अनदेखा करें। यदि MMS किसी मित्र का है, तो यह संभव होगा कि अगर किसी कीड़े ने उतारना शुरू कर दिया तो उनका फोन समझौता कर लिया गया। यदि आपका फोन असुरक्षित है तो कभी भी एमएमएस संदेश डाउनलोड करना सबसे सुरक्षित है.
एमएमएस संदेश ऑटो-पुनर्प्राप्ति को अक्षम करने के लिए, अपने संदेश अनुप्रयोग के लिए उपयुक्त चरणों का पालन करें.
- संदेश (एंड्रॉइड में निर्मित): मैसेजिंग खोलें, मेनू बटन टैप करें, और सेटिंग्स टैप करें। "मल्टीमीडिया (MMS) संदेश" अनुभाग तक स्क्रॉल करें और "ऑटो पुनर्प्राप्त करें" को अनचेक करें।
- मैसेंजर (Google द्वारा): मैसेंजर खोलें, मेनू टैप करें, सेटिंग्स टैप करें, उन्नत टैप करें, और "ऑटो पुनर्प्राप्त करें" को अक्षम करें।
- Hangouts (Google द्वारा): Hangouts खोलें, मेनू टैप करें, और सेटिंग> SMS पर नेविगेट करें। उन्नत के तहत "ऑटो पुनर्प्राप्त एसएमएस" को अनचेक करें। (यदि आपको यहां एसएमएस के विकल्प नहीं दिखते हैं, तो आपका फोन एसएमएस के लिए Hangouts का उपयोग नहीं कर रहा है। आपके द्वारा उपयोग किए जाने वाले एसएमएस ऐप में सेटिंग अक्षम करें।)
- संदेश (सैमसंग द्वारा): संदेश खोलें और अधिक> सेटिंग्स> अधिक सेटिंग्स पर जाएं। मल्टीमीडिया संदेश टैप करें और "ऑटो पुनर्प्राप्त करें" विकल्प को अक्षम करें। यह सेटिंग अलग-अलग सैमसंग उपकरणों पर एक अलग स्थान पर हो सकती है, जो मैसेज ऐप के विभिन्न संस्करणों का उपयोग करते हैं.
यहां पूरी सूची बनाना असंभव है। एसएमएस संदेश (टेक्स्ट संदेश) भेजने के लिए आपके द्वारा उपयोग किए जाने वाले ऐप को खोलें और एक विकल्प खोजें जो एमएमएस संदेशों के "ऑटो पुनर्प्राप्त" या "स्वचालित डाउनलोड" को अक्षम कर देगा।.
चेतावनी: यदि आप MMS संदेश डाउनलोड करना चुनते हैं, तो आप अभी भी असुरक्षित हैं। और, स्टेजफ्राइट भेद्यता के रूप में सिर्फ एक एमएमएस संदेश मुद्दा नहीं है, यह पूरी तरह से हर प्रकार के हमले से आपकी रक्षा नहीं करेगा.
जब आपका फोन एक पैच हो रही है?
बग के आसपास काम करने का प्रयास करने के बजाय, यह बेहतर होगा यदि आपका फोन सिर्फ एक अपडेट प्राप्त करता है जो इसे तय करता है। दुर्भाग्य से, एंड्रॉइड अपडेट की स्थिति वर्तमान में एक बुरा सपना है। यदि आपके पास हाल ही में फ्लैगशिप फोन है, तो आप शायद किसी बिंदु पर अपग्रेड की उम्मीद कर सकते हैं - उम्मीद है। यदि आपके पास एक पुराना फोन है, विशेष रूप से एक लो-एंड फोन, तो एक अच्छा मौका है जिसे आप कभी भी अपडेट प्राप्त नहीं करेंगे.
- Nexus उपकरण: Google ने अब Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013), Nexus 9 और Nexus 10 के लिए अपडेट जारी कर दिए हैं। मूल Nexus 7 (2012) जाहिर तौर पर अब समर्थित नहीं है और इसे पैच नहीं किया जाएगा
- सैमसंग: स्प्रिंट ने गैलेक्सी एस 5, एस 6, एस 6 एज और नोट एज को अपडेट करना शुरू कर दिया है। यह स्पष्ट नहीं है जब अन्य वाहक इन अपडेट को बाहर धकेल रहे हैं.
Google ने Ars Technica को भी बताया कि "सबसे लोकप्रिय एंड्रॉइड डिवाइस" को अगस्त में अपडेट मिलेगा, जिसमें शामिल हैं:
- सैमसंग: गैलेक्सी S3, S4, और नोट 4, उपरोक्त फोन के अलावा.
- एचटीसी: द वन एम 7, वन एम 8 और वन एम 9.
- एलजी: जी 2, जी 3, और जी 4.
- सोनी: एक्सपीरिया जेड 2, जेड 3, जेड 4 और जेड 3 कॉम्पैक्ट.
- एंड्रॉयड वन Google द्वारा समर्थित उपकरण
मोटोरोला ने यह भी घोषणा की है कि वह अपने फोन को अगस्त में शुरू होने वाले अपडेट के साथ पेश करेगा, जिसमें मोटो एक्स (1 और 2 पीढ़ी), मोटो एक्स प्रो, मोटो मैक्स / टर्बो, मोटो जी (1, 2 और 3 पीढ़ी), मोटो जी शामिल हैं। 4 जी एलटीई (पहली और दूसरी पीढ़ी) के साथ, मोटो ई (पहली और दूसरी पीढ़ी), 4 जी एलटीई (दूसरी पीढ़ी) के साथ मोटो ई, ड्रॉप टर्बो, और डीआरओआईडी अल्ट्रा / मिनी / मैक्सएक्स.
Google Nexus, Samsung और LG ने प्रति माह एक बार सुरक्षा अपडेट के साथ अपने फोन को अपडेट करने के लिए प्रतिबद्ध किया है। हालाँकि, यह वादा केवल प्रमुख फोन पर ही लागू होता है और इसके लिए वाहकों के सहयोग की आवश्यकता होती है। यह स्पष्ट नहीं है कि यह कितना कारगर होगा। वाहक संभावित रूप से इन अद्यतनों के रास्ते में खड़े हो सकते हैं, और यह अभी भी बड़ी संख्या में छोड़ देता है - हजारों विभिन्न मॉडल - बिना अद्यतन के उपयोग में.
या, बस CyanogenMod स्थापित करें
CyanogenMod एंड्रॉइड का एक तृतीय-पक्ष कस्टम रोम है जो अक्सर उत्साही लोगों द्वारा उपयोग किया जाता है। यह उन उपकरणों के लिए एंड्रॉइड का एक वर्तमान संस्करण लाता है जिन्हें निर्माताओं ने समर्थन करना बंद कर दिया है। यह वास्तव में औसत व्यक्ति के लिए आदर्श समाधान नहीं है क्योंकि इसमें आपके फोन के बूटलोडर को अनलॉक करने की आवश्यकता होती है। लेकिन, यदि आपका फोन समर्थित है, तो आप वर्तमान सुरक्षा अपडेट के साथ एंड्रॉइड के वर्तमान संस्करण को प्राप्त करने के लिए इस ट्रिक का उपयोग कर सकते हैं। यदि आपका फ़ोन अब इसके निर्माता द्वारा समर्थित नहीं है, तो CyanogenMod को स्थापित करना बुरा नहीं है.
CyanogenMod ने रात के संस्करणों में स्टेजफ्राइट भेद्यता तय की है, और इसे ओटीए अपडेट के माध्यम से ठीक करना चाहिए और इसे जल्द ही स्थिर संस्करण में लाना चाहिए.
Android में एक समस्या है: अधिकांश उपकरण सुरक्षा अपडेट प्राप्त नहीं करते हैं
यह कई सुरक्षा छेदों में से एक है जो पुराने एंड्रॉइड डिवाइसों का निर्माण करता है, दुख की बात है। यह सिर्फ एक विशेष रूप से बुरा है जिस पर अधिक ध्यान दिया जा रहा है। एंड्रॉइड डिवाइस के अधिकांश - एंड्रॉइड 4.3 और पुराने से चलने वाले सभी उपकरणों में एक कमजोर वेब ब्राउज़र घटक है, उदाहरण के लिए। जब तक कि डिवाइस एंड्रॉइड के नए संस्करण में अपग्रेड न हो जाए, यह कभी भी पैच नहीं होगा। आप क्रोम या फ़ायरफ़ॉक्स चलाकर इसके खिलाफ खुद को बचाने में मदद कर सकते हैं, लेकिन यह असुरक्षित ब्राउज़र हमेशा उन उपकरणों पर रहेगा जब तक कि उन्हें बदल नहीं दिया जाता। निर्माता उन्हें अद्यतन रखने और बनाए रखने में रुचि नहीं रखते हैं, यही वजह है कि इतने सारे लोग CyanogenMod में बदल गए हैं.
Google, एंड्रॉइड डिवाइस निर्माताओं और सेलुलर कैरियर्स को अद्यतन करने की वर्तमान पद्धति के रूप में, क्रम में अपने एक्ट को प्राप्त करने की आवश्यकता है - या अपडेट नहीं करने पर - एंड्रॉइड डिवाइस एंड्रॉइड पारिस्थितिकी तंत्र के लिए अग्रणी है, जिसमें समय के साथ छेद बनाने वाले डिवाइस होते हैं। यही कारण है कि आईफ़ोन एंड्रॉइड फोन की तुलना में अधिक सुरक्षित हैं - आईफ़ोन वास्तव में सुरक्षा अपडेट प्राप्त करते हैं। Apple ने Google (Nexus फोन) से अधिक समय के लिए iPhones को अपडेट करने के लिए प्रतिबद्ध किया है, सैमसंग, और एलजी अपने फोन को अपग्रेड करने के लिए आ रहे हैं, भी.
आपने शायद सुना है कि Windows XP का उपयोग करना खतरनाक है क्योंकि यह अब अपडेट नहीं किया जा रहा है। XP समय के साथ सुरक्षा छेद का निर्माण करना जारी रखेगा और अधिक से अधिक कमजोर हो जाएगा। खैर, अधिकांश एंड्रॉइड फोन का उपयोग करना एक ही तरीका है - वे सुरक्षा अपडेट प्राप्त नहीं कर रहे हैं.
कुछ शोषण शमन एक स्टेजफ्रंट कृमि को लाखों एंड्रॉइड फोन लेने से रोकने में मदद कर सकते हैं। Google का तर्क है कि Android के अधिक हाल के संस्करणों पर ASLR और अन्य सुरक्षा स्टेजफ्राइट को हमला करने से रोकने में मदद करते हैं, और यह आंशिक रूप से सही प्रतीत होता है.
कुछ सेलुलर वाहक भी संभावित रूप से दुर्भावनापूर्ण एमएमएस संदेश को अपने अंत में रोकते हुए दिखाई देते हैं, जिससे उन्हें कभी भी कमजोर फोन तक पहुंचने से रोका जा सकता है। यह एमएमएस संदेशों के माध्यम से एक कीड़े को फैलने से रोकने में मदद करेगा, कम से कम वाहक कार्रवाई करने पर.
इमेज क्रेडिट: फ़्लिकर पर माटेओ डोनी