ब्लूबॉक्स एंड्रॉइड मैलवेयर का डर शायद आपको प्रभावित नहीं करेगा

क्या होगा यदि हैकर्स मौजूदा वैध ऐप ले सकते हैं या वैध डिजिटल हस्ताक्षर के साथ अपडेट कर सकते हैं, और अपने एंड्रॉइड फोन पर हर चीज तक पहुंचने के लिए इसे एक दुर्भावनापूर्ण ट्रोजन के रूप में उपयोग करने के लिए इसे संशोधित करें गोली? जब एक मोबाइल सुरक्षा स्टार्टअप के शोधकर्ताओं ने फोन किया ब्लूबॉक्स सुरक्षा का खुलासा उन्होंने एक ऐसी भेद्यता की पहचान की है जो "99 प्रतिशत" एंड्रॉइड डिवाइसों को प्रभावित करती है, इसने पूरे वेब पर तकनीकी सुर्खियां बटोरीं। लेकिन क्या आपको चिंतित होना चाहिए?

समस्या क्या है?

"यह भेद्यता, कम से कम एंड्रॉइड 1.6 (कोडनेम: "डोनट") के रिलीज होने के बाद से, पिछले 4 वर्षों में जारी किए गए किसी भी एंड्रॉइड फोन को प्रभावित कर सकती है," ब्लूबॉक्स सीटीओ जेफ फोरिस्टल ने एक में बताया कंपनी ब्लॉग पर पोस्ट करें. उन्होंने आगे बताया कि "...एक हैकर डेटा चोरी से लेकर मोबाइल बॉटनेट के निर्माण तक किसी भी चीज़ के लिए भेद्यता का फायदा उठा सकता है।"

एपीके, या एंड्रॉइड एप्लिकेशन पैकेज, फ़ाइलें खतरे में हैं क्योंकि यह दोष हैकर्स को एक वैध ऐप या अपडेट को बदलने की अनुमति देता है, लेकिन डिजिटल हस्ताक्षर को बनाए रखता है जो इसे सुरक्षित रूप से सत्यापित करता है। वे आपके पासवर्ड चुराने और वैध डिजिटल हस्ताक्षर का उपयोग करने के लिए एक नकली ऐप बना सकते हैं, ताकि आपके एंड्रॉइड फोन को लगे कि यह सैमसंग, एचटीसी या यहां तक ​​कि Google जैसी कंपनी द्वारा बनाया गया है। चूंकि डिवाइस निर्माता और विश्वसनीय भागीदार आपके एंड्रॉइड सिस्टम तक विशेषाधिकार प्राप्त पहुंच वाले ऐप्स का उत्पादन करते हैं, इसलिए आपके फ़ोन पर किसी दुर्भावनापूर्ण चीज़ के आने का जोखिम बहुत गंभीर है।

इस बारे में क्या किया जा रहा है?

ब्लूबॉक्स ने फरवरी 2013 में Google को एंड्रॉइड सुरक्षा बग 8219321 का खुलासा किया था। Google ने Play Store को पहले ही अपडेट कर दिया है ताकि इस शोषण का उपयोग करने वाले किसी भी दुर्भावनापूर्ण ऐप्स को ब्लॉक करने के लिए जांच की जा सके। Google ने ओपन हैंडसेट एलायंस में अपने हार्डवेयर भागीदारों के साथ बग साझा किया और कुछ निर्माताओं ने इस सुरक्षा समस्या को ठीक करने के लिए पहले ही पैच जारी कर दिए हैं।

मैं मैलवेयर से कैसे बच सकता हूँ?

यदि आप सावधान हैं कि अपने फ़ोन को कभी भी लावारिस न छोड़ें और केवल ऐप्स और अपडेट ही इंस्टॉल करें Google Play पर चिंता का कोई वास्तविक कारण नहीं है क्योंकि इससे आपको वास्तव में कोई खतरा नहीं है शोषण करना। यदि आप यह सुनिश्चित करना चाहते हैं कि आप प्रभावित न हों, तो इसमें जाएँ सेटिंग्स > सुरक्षा और सुनिश्चित करें कि "अज्ञात स्रोतों" से इंस्टॉलेशन की अनुमति बॉक्स अनचेक किया गया है।

हमने चर्चा की है एंड्रॉइड ऐप सुरक्षा की मूल बातें पहले और वे अब भी लागू होते हैं। अपराधी अब इस शोषण का उपयोग करके मैलवेयर प्रसारित करने के लिए Google Play Store का उपयोग करने में असमर्थ हैं, इसलिए अब वहां ऐप्स डाउनलोड करना सुरक्षित है। आपको कम से कम अभी के लिए अन्य स्रोतों - यहां तक ​​कि सैमसंग या अमेज़ॅन ऐप स्टोर - से ऐप्स या अपडेट इंस्टॉल करने से बचना चाहिए। तृतीय-पक्ष एंड्रॉइड ऐप स्टोर और वेबसाइटों पर सीधे लिंक सबसे संभावित डिलीवरी विधियां हैं, लेकिन मैलवेयर ईमेल के माध्यम से आ सकता है, या यूएसबी केबल के माध्यम से आपके डिवाइस पर भी स्थानांतरित हो सकता है (यदि आप अपने फोन को अपने फोन से कनेक्ट करते हैं)। कंप्यूटर)।

“एंड्रॉइड पर मैलवेयर फैलाने की मुख्य समस्या उपयोगकर्ता को असुरक्षित स्रोतों से कुछ डाउनलोड और इंस्टॉल करना है (कुछ तृतीय-पक्ष बाज़ार या सीधे वेब से),'' स्वतंत्र सुरक्षा संस्थान, एवी-टेस्ट से माईक मॉर्गनस्टर्न, हमें समझाया. “रिपोर्ट की गई भेद्यता यहां मैलवेयर लेखकों को किसी भी तरह से 'मदद' नहीं करती है। उन्हें अभी भी Google Play Store में अपनी रचनाएँ प्राप्त करने में कठिनाई होगी और यदि वे सफल भी होते हैं, तो निश्चित रूप से उनके ऐप्स मूल लेखक के खाते के अंतर्गत सूचीबद्ध नहीं होंगे। [उदाहरण के लिए,] यदि वे इसका ट्रोजन संस्करण बनाते हैं एंग्री बर्ड्स, इसे मैलवेयर लेखक के नाम के अंतर्गत सूचीबद्ध किया जाएगा न कि रोवियो के अंतर्गत। इसलिए उपयोगकर्ता शायद ही इन ट्रोजनयुक्त ऐप्स पर ठोकर खाएंगे। यदि उपयोगकर्ता केवल Google Play Store से ऐप्स डाउनलोड करते हैं तो उन्हें सुरक्षित रहना चाहिए।'

तो, मैं आराम कर सकता हूँ?

एंड्रॉइड के साथ समस्या यह है कि Google खामियों और हैकिंग कारनामों को ठीक करने के लिए कार्रवाई कर सकता है, लेकिन यह सिस्टम वाइड अपडेट को रोल आउट नहीं कर सकता है।

मॉर्गनस्टर्न ने हमें बताया, "मुख्य समस्या कई निर्माताओं की अद्यतन नीति है।" "पुराने डिवाइसों को अब अपडेट प्राप्त नहीं होता है (इसलिए ये डिवाइस असुरक्षित रहेंगे) और नए डिवाइसों के अपडेट में भी महीनों लग सकते हैं।" 

उपकरणों पर अपडेट भेजना व्यक्तिगत निर्माताओं और मोबाइल वाहकों (एटी एंड टी, वेरिज़ोन, टी-मोबाइल, स्प्रिंट, आदि) पर निर्भर है। पुराने Android उपकरणों का पीछे छूट जाना आम बात है। यदि आपके पास कोई पुराना उपकरण है जो खतरे में है और आप Google Play से जुड़े रहकर खुश नहीं हैं तो आने वाले कुछ समय के लिए आप खतरे में पड़ सकते हैं।

अद्यतन 7-9-2013: ब्लूबॉक्स से सलाह

इस लेख के प्रकाशित होने के बाद, ब्लूबॉक्स ने हमसे संपर्क किया। वे उपयोगकर्ताओं से आग्रह कर रहे हैं कि इस भेद्यता के जोखिम को कम करने का सबसे अच्छा तरीका "अपने विशिष्ट एंड्रॉइड डिवाइस मॉडल के बारे में अपने डिवाइस निर्माता या अपने मोबाइल वाहक से जांच करें" और ओएस संस्करण यह देखने के लिए कि क्या कोई हालिया अपडेट/फिक्स उपलब्ध कराया गया है। वे यह भी बताते हैं कि आपको यह पुष्टि करने के लिए रिलीज़ नोट्स की जाँच करने की आवश्यकता हो सकती है कि इसमें कोई सुधार शामिल है अद्यतन। यदि आपको अपने डिवाइस के लिए कोई नहीं मिल रहा है, तो उनका सुझाव है कि आपको फिलहाल Google Play के बाहर से कुछ भी इंस्टॉल करने से बचना चाहिए।

ब्लूबॉक्स सीटीओ, जेफ़ फ़ोरिस्टल, अपनी बातचीत में इस मुद्दे का तकनीकी विवरण जारी करने की योजना बना रहे हैं ब्लैक हैट यूएसए 2013 महीने के अंत में। यह देखना बाकी है कि प्रमुख एंड्रॉइड डिवाइस विक्रेता कैसे प्रतिक्रिया देंगे। हम आपको पत्र भेजते रहेंगे।

आलेख मूलतः 7-8-2013 को प्रकाशित हुआ।

संपादकों की सिफ़ारिशें

• $120 में इस लेनोवो एंड्रॉइड टैबलेट को पाने का मौका न चूकें
• आप विश्वास नहीं करेंगे कि यह आईपैड कितना सस्ता है, साइबर मंडे को धन्यवाद
• Google चाहता है कि आप जानें कि Android ऐप्स अब केवल फ़ोन के लिए नहीं हैं
• एंड्रॉइड 13 के बारे में सबसे अच्छी बात कोई नई सुविधा या सेटिंग नहीं है - यह कुछ और है
• Android 13 के साथ आपके Pixel पर वायरलेस चार्जिंग काम नहीं कर रही है? आप अकेले नहीं हैं

अपनी जीवनशैली को उन्नत करेंडिजिटल ट्रेंड्स पाठकों को सभी नवीनतम समाचारों, मजेदार उत्पाद समीक्षाओं, व्यावहारिक संपादकीय और एक तरह की अनूठी झलक के साथ तकनीक की तेज़ गति वाली दुनिया पर नज़र रखने में मदद करता है।