Google और सैमसंग जैसी कंपनियों के एंड्रॉइड स्मार्टफोन में एक सुरक्षा दोष ने दुर्भावनापूर्ण ऐप्स को वीडियो रिकॉर्ड करने, फ़ोटो लेने और ऑडियो कैप्चर करने की अनुमति दी, सामग्री को उपयोगकर्ता की अनुमति के बिना रिमोट सर्वर पर अपलोड करने की अनुमति दी।
भेद्यता की खोज द्वारा की गई थी सुरक्षा फर्म चेकमार्क्स , और द्वारा आज हाइलाइट किया गया एआरएस टेक्नीका . दोष में उच्च-मूल्य वाले लक्ष्यों को उनके स्मार्टफ़ोन द्वारा अवैध रूप से रिकॉर्ड किए जाने के लिए खुला छोड़ने की क्षमता थी।
चेकमार्क्स के माध्यम से छवि
एंड्रॉइड ऐप को उपयोगकर्ता की अनुमति के बिना स्मार्टफोन पर कैमरा और माइक्रोफ़ोन तक पहुंचने से रोकने के लिए है, लेकिन इस विशेष शोषण के साथ, ऐप उपयोगकर्ता की सहमति के बिना वीडियो और ऑडियो कैप्चर करने के लिए कैमरा और माइक्रोफ़ोन का उपयोग कर सकता है। केवल एक ऐप को डिवाइस के स्टोरेज को एक्सेस करने की अनुमति प्राप्त करने की आवश्यकता होती है, जिसे आमतौर पर दिया जाता है क्योंकि अधिकांश ऐप इसके लिए पूछते हैं।
यह प्रदर्शित करने के लिए कि दोष कैसे काम करता है, Checkmarx ने एक प्रूफ-ऑफ-कॉन्सेप्ट ऐप बनाया, जो सतह पर एक मौसम ऐप प्रतीत होता था, लेकिन पृष्ठभूमि में प्रचुर मात्रा में डेटा को स्कूप कर रहा था।
ऐप फोन की स्क्रीन बंद होने या ऐप बंद होने पर भी तस्वीरें लेने और वीडियो रिकॉर्ड करने में सक्षम था, साथ ही तस्वीरों से स्थान डेटा तक पहुंच। यह कैमरा शटर ध्वनि को समाप्त करते हुए, चुपके मोड में काम करने में सक्षम था, और यह दो-तरफा फोन वार्तालाप भी रिकॉर्ड कर सकता था। सभी डेटा एक दूरस्थ सर्वर पर अपलोड करने में सक्षम थे।
जब शोषण का उपयोग किया जाता था, तो हमला किए जा रहे स्मार्टफोन की स्क्रीन वीडियो रिकॉर्ड करते समय या फोटो लेते समय कैमरा प्रदर्शित करती थी, जिससे प्रभावित उपयोगकर्ताओं को पता चल जाता था कि क्या हो रहा है। इसका उपयोग गुप्त रूप से तब किया जा सकता है जब स्मार्टफोन का डिस्प्ले दृष्टि से बाहर हो या जब डिवाइस को स्क्रीन डाउन किया गया हो, और स्मार्टफोन का सामना कब किया गया था, यह निर्धारित करने के लिए निकटता सेंसर का उपयोग करने के लिए एक सुविधा थी।
Google ने जुलाई में वापस लॉन्च किए गए कैमरा अपडेट के माध्यम से अपने पिक्सेल फोन में भेद्यता को संबोधित किया, और सैमसंग ने भेद्यता को भी ठीक कर दिया है, हालांकि यह ज्ञात नहीं है कि कब। गूगल से:
'हम इसे हमारे ध्यान में लाने और प्रकटीकरण के समन्वय के लिए Google और Android भागीदारों के साथ काम करने वाले Checkmarx की सराहना करते हैं। जुलाई 2019 में Google कैमरा एप्लिकेशन के लिए Play Store अपडेट के माध्यम से प्रभावित Google उपकरणों पर समस्या का समाधान किया गया था। सभी भागीदारों के लिए एक पैच भी उपलब्ध कराया गया है।'
सैमसंग से:
Google द्वारा इस मुद्दे के बारे में सूचित किए जाने के बाद से, हमने बाद में प्रभावित होने वाले सभी सैमसंग डिवाइस मॉडल को संबोधित करने के लिए पैच जारी किए हैं। हम एंड्रॉइड टीम के साथ अपनी साझेदारी को महत्व देते हैं जिसने हमें इस मामले को सीधे पहचानने और संबोधित करने की अनुमति दी।'
Checkmarx के अनुसार, Google ने कहा है कि अन्य निर्माताओं के Android फ़ोन भी असुरक्षित हो सकते हैं, इसलिए वहाँ अभी भी कुछ डिवाइस हो सकते हैं जो हमले के लिए खुले हैं। Google ने विशिष्ट निर्माताओं और मॉडलों का खुलासा नहीं किया है।
चूंकि यह एक Android बग है, इसलिए Apple के iOS डिवाइस सुरक्षा दोष से प्रभावित नहीं होते हैं।
यह ज्ञात नहीं है कि ऐप्स उपयोगकर्ता की अनुमति के बिना कैमरे तक क्यों पहुंच पाए। करने के लिए एक ईमेल में एआरएस टेक्नीका , Checkmarx ने अनुमान लगाया कि यह संभावित रूप से Google के उस निर्णय से संबंधित हो सकता है जो कैमरा को Google सहायक के साथ काम करता है, एक ऐसी सुविधा जिसे अन्य निर्माताओं ने भी लागू किया हो सकता है।
Tags: सैमसंग, गूगल, शोषण, एंड्रॉयड
लोकप्रिय पोस्ट