लिनक्स कर्नेल दोष जो जोखिम पर एंड्रॉइड डिवाइस डालता है

21 जनवरी, 2016

कुछ दिन पहले, एक इज़राइली साइबर सुरक्षा फर्म, पर्सप्शन प्वाइंट ने लिनक्स कर्नेल में शून्य-दिन की सुरक्षा भेद्यता की खोज की, जो असीमित संख्या में सर्वर, डेस्कटॉप पीसी और सबसे महत्वपूर्ण रूप से एंड्रॉइड संचालित मोबाइल डिवाइसों को सशक्त बनाता है । इस भेद्यता का लाभ उठाने के लिए एक हैकर, किसी डिवाइस पर रूट-स्तरीय विशेषाधिकार प्राप्त कर सकता है और या तो डेटा की अनधिकृत पहुंच प्राप्त कर सकता है या उसकी इच्छानुसार कोड निष्पादित कर सकता है।

लिनक्स कर्नेल दोष के बारे में अधिक जानकारी

विशेषज्ञों के मुताबिक, दोष के कारण कोर लिनक्स कर्नेल में निहित है, जो सर्वर, पीसी और एंड्रॉइड डिवाइस पर काफी समान है। माना जाता है कि इस दोष को सीवीई-2016-0728 नाम दिया गया है, माना जाता है कि यह सभी एंड्रॉइड संचालित उपकरणों के 60 प्रतिशत से अधिक प्रभावित हुआ है। संयोग से, इस दोष ने पहली बार लिनक्स संस्करण 3.8 में 2012 के रूप में एक उपस्थिति बनाई और अभी भी 32-बिट और 64-बिट लिनक्स-आधारित सिस्टम दोनों पर मौजूद है।

यहां परेशान करने वाली बात यह है कि भेद्यता लगभग 3 वर्षों तक अस्तित्व में रही है और संभावित रूप से हैकर्स को लिनक्स संचालित सर्वर, पीसी, एंड्रॉइड और अन्य एम्बेडेड डिवाइसों पर अनधिकृत नियंत्रण प्राप्त करने की अनुमति है। यह मूल रूप से कर्नेल की कीरिंग सुविधा से उत्पन्न होता है और कर्नेल में कोड निष्पादित करने के लिए स्थानीय उपयोगकर्ता के अंतर्गत चल रहे ऐप्स को अनुमति देता है। इसका मतलब यह है कि भेद्यता जोखिम के जोखिम पर उपयोगकर्ताओं की संवेदनशील जानकारी, प्रमाणीकरण और एन्क्रिप्शन कुंजी सहित, डाल सकती है।

यह एंड्रॉइड को धमकी कैसे दे सकता है

ऐसी चीज जो संभावित रूप से इस भेद्यता को एक बड़ी चिंता कर सकती है वह यह है कि यह एआरएम समेत सभी आर्किटेक्चर को प्रभावित करता है। यह स्वचालित रूप से तात्पर्य है कि एंड्रॉइड 4.4 किटकैट चलाने वाले सभी एंड्रॉइड डिवाइस इसके बाद प्रभावित होंगे। वर्तमान में, यह सभी एंड्रॉइड उपकरणों के लगभग 70 प्रतिशत के लिए जिम्मेदार है।

एंड्रॉइड ओएस पहले से ही विखंडन की उच्च डिग्री और अद्यतन देरी के लिए जाना जाता है। Google डिवाइस निर्माताओं के साथ सुरक्षा पैच साझा करता है , जो उन्हें अलग से लागू करते हैं। कंपनी संबंधित मोबाइल वाहकों के सहयोग से अन्य अपडेट वितरित करती है । मामलों को और जटिल बनाने के लिए, इनमें से अधिकतर डिवाइस केवल 18 महीने की अवधि के लिए सॉफ़्टवेयर समर्थन प्राप्त करते हैं, जिसके बाद उन्हें कोई और अपडेट या पैच प्राप्त नहीं होते हैं। यह इंगित करता है कि कई डिवाइस उपयोगकर्ता, विशेष रूप से पुराने एंड्रॉइड डिवाइस का उपयोग करने वाले, नवीनतम अपडेट और बग फिक्स का लाभ कभी नहीं ले सकते हैं।

यह घटना उपयोगकर्ताओं को इंगित करेगी कि पुराने एंड्रॉइड संस्करण अब उपयोग के लिए सुरक्षित नहीं होंगे और नवीनतम सुरक्षा सुविधाओं और अन्य कार्यक्षमता का अनुभव करने के लिए उन्हें लगातार अपने डिवाइस को अपग्रेड करना चाहिए। यह भी समस्या का एक अव्यवहारिक समाधान होगा - हर कोई हर दो साल में एक बार अपने स्मार्टफोन या टैबलेट को बदलने के लिए तैयार नहीं होगा।

अब तक, मोबाइल उद्योग को मोबाइल मैलवेयर के प्रकारों से अवगत कराया गया है जो कुछ हद तक अत्याधुनिक हैं। आज तक, किसी भी हैक हमले ने उपयोगकर्ताओं को वास्तविक, गंभीर खतरा नहीं बनाया है। हालांकि, तथ्य यह है कि एंड्रॉइड मैलवेयर के लिए एक नरम लक्ष्य है और यह किसी मौजूदा समय की मौजूदा भेद्यताओं पर भारी हमले शुरू करने से पहले ही समय की बात हो सकती है।

क्या लिनक्स और Google योजना करने के लिए

सौभाग्य से, हालांकि भेद्यता मौजूद है, फिर भी कोई हैक हमला नहीं देखा गया है। हालांकि, सुरक्षा विशेषज्ञ अब हाल ही में इस दोष का शोषण करने के लिए गहराई से खुदाई करेंगे। लिनक्स और रेड हैट सुरक्षा दल पहले से ही संबंधित पैच जारी करने के लिए काम कर रहे हैं - उन्हें इस सप्ताह के अंत तक उपलब्ध होना चाहिए। हालांकि, कुछ सिस्टम होने के बाध्य हैं जो कम से कम कुछ समय के लिए कमजोर रह सकते हैं।

Google एंड्रॉइड कोड बेस के भीतर जब दोष को पैच किया जाएगा, तो तत्काल और निश्चित उत्तर नहीं दे सका। यह पारिस्थितिक तंत्र, ओपन सोर्स होने के नाते, यह डिवाइस निर्माताओं और डेवलपर्स तक उनके ग्राहकों को पैच जोड़ने और वितरित करने के लिए होगा। इस बीच, Google, हमेशा के रूप में, एंड्रॉइड उपकरणों की नेक्सस लाइन के लिए मासिक अपडेट और बग फिक्स जारी करना जारी रखेगा। अपने ऑनलाइन स्टोर में प्रारंभिक बिक्री की तारीख के कम से कम 2 साल के लिए अपने प्रत्येक मॉडल का समर्थन करने की विशाल योजनाएं।