माइक्रोसॉफ्ट को कई एंड्रॉइड ऐप्स में 'डर्टी स्ट्रीम' सुरक्षा खामी मिली है

माइक्रोसॉफ्ट पिछले सप्ताह कई एंड्रॉइड ऐप्स में एक बड़ी सुरक्षा भेद्यता का पता चला, जिसका उपयोग डिवाइस पर ऐप्स और संवेदनशील डेटा तक अनधिकृत पहुंच प्राप्त करने के लिए किया जा सकता है। दिलचस्प बात यह है कि यह सुरक्षा दोष सिस्टम कोड से नहीं आता है, बल्कि डेवलपर्स द्वारा किसी विशेष सिस्टम का अनुचित उपयोग होता है जिससे शोषण की आशंका वाली खामियां पैदा हो सकती हैं। विशेष रूप से, दोष को Google को उजागर किया गया है, और तकनीकी दिग्गज ने एंड्रॉइड ऐप डेवलपर समुदाय को इस मुद्दे के बारे में जागरूक करने के लिए कदम उठाए हैं।

में एक डाक अपने सुरक्षा ब्लॉग पर, माइक्रोसॉफ्ट थ्रेट इंटेलिजेंस टीम ने कहा, “माइक्रोसॉफ्ट ने कई लोकप्रिय एंड्रॉइड अनुप्रयोगों में एक पथ ट्रैवर्सल-संबद्ध भेद्यता पैटर्न की खोज की है जो एक दुर्भावनापूर्ण एप्लिकेशन को कमजोर एप्लिकेशन की होम निर्देशिका में फ़ाइलों को ओवरराइट करने में सक्षम कर सकता है।” शोधकर्ताओं ने इस बात पर भी प्रकाश डाला कि कई ऐप्स में भेद्यता देखी गई थी गूगल प्ले स्टोर जिसकी संयुक्त कुल स्थापना चार अरब से अधिक थी।

यह भेद्यता तब उभरती है जब कोई डेवलपर गलत तरीके से उपयोग करता है एंड्रॉइड का सामग्री प्रदाता प्रणाली, जिसे एक डिवाइस पर विभिन्न ऐप्स के बीच डेटा विनिमय को सुरक्षित करने के लिए डिज़ाइन किया गया है। इसमें डेटा अलगाव, यूआरआई अनुमतियां, पथ सत्यापन और ऐप्स या किसी अन्य व्यक्ति द्वारा ऐप में अनधिकृत पहुंच को रोकने के लिए अन्य सुरक्षा उपाय शामिल हैं। हालाँकि, सिस्टम का अनुचित कार्यान्वयन कस्टम इंटेंट नामक घटक को प्रभावित करता है। ये मैसेजिंग ऑब्जेक्ट हैं जो विभिन्न ऐप्स के बीच दो-तरफ़ा संचार संचालित करते हैं। जब यह भेद्यता मौजूद होती है तो ऐप्स सुरक्षा उपायों को अनदेखा कर सकते हैं और अन्य ऐप्स (या उन्हें नियंत्रित करने वाले हैकर्स) को उनमें संग्रहीत संवेदनशील डेटा तक पहुंचने देते हैं।

डिवाइस पर हमले की स्थिति में, हैकर्स केवल एक ऐप तक पहुंच कर इस भेद्यता में हेरफेर कर सकते हैं, वे ऐसे सभी ऐप्स में प्रवेश कर सकते हैं जिनमें यह खामी है। यह बुरे कलाकारों को डिवाइस पर पूर्ण नियंत्रण हासिल करने या वित्तीय जानकारी सहित संवेदनशील डेटा चुराने में सक्षम बनाता है। उल्लेखनीय रूप से, भेद्यता पाई गई थी Xiaomi फ़ाइल प्रबंधक और WPS Office ऐप्स। माइक्रोसॉफ्ट ने अपनी रिपोर्ट में कहा कि दोनों ऐप के डेवलपर्स ने जांच की है और समस्या को ठीक कर लिया है।

गूगल ने भी मामले का संज्ञान लिया है और एक प्रकाशन किया है डाक अपने Android डेवलपर्स ब्लॉग पर। कंपनी ने सामान्य त्रुटियों और उन्हें ठीक करने के तरीकों पर प्रकाश डाला है। उम्मीद है कि प्रभावित ऐप्स के डेवलपर्स आने वाले दिनों में समस्याओं को ठीक कर देंगे और एक समाधान जारी करेंगे। हालांकि अंतिम उपयोगकर्ता इस भेद्यता से बचने के लिए बहुत कुछ नहीं कर सकते हैं, लेकिन यह अनुशंसा की जाती है कि वे अपने डिवाइस पर ऐप्स को अपडेट करने में सक्रिय रहें और कुछ समय के लिए तीसरे पक्ष के स्रोतों से ऐप्स डाउनलोड करने से बचें।