Android वर मागील आवृत्त्यांमध्ये निराकरण केलेली एक असुरक्षा गेल्या वर्षाच्या सुरूवातीस पासून, पुनरुत्थान झाले आहे, कारण अलीकडे एसई ला आढळले की हल्लेखोर शून्य-दिवसाच्या असुरक्षाचा सक्रियपणे उपयोग करीत आहेत Android वर आपल्याला विविध फोन मॉडेल्सचे पूर्ण नियंत्रण ठेवण्याची परवानगी देते, गूगल पिक्सल, हुआवेई, झिओमी डिव्हाइस, सॅमसंग आणि इतर models मॉडेल्सचा समावेश आहे, असे गुगल झिरो प्रोजेक्ट रिसर्च ग्रुपच्या सदस्याने सांगितले.
असुरक्षितता Android वर "उच्च तीव्रता" म्हणून रेटिंग दिले गेले आहे सर्वात वाईट म्हणजे, असुरक्षित फोन पूर्णपणे रूट करण्यासाठी शोषणासाठी थोडेसे सानुकूलित करण्याची आवश्यकता नाही. गेल्या आठवड्यात सापडलेल्या या बगचा सक्रियपणे एनएसओ ग्रुपने किंवा त्याच्या एका क्लायंटद्वारे उपयोग केला होता असे गुगलच्या रिसर्च ग्रुपच्या संदेशाद्वारे सूचित केले गेले.
तथापि, गटाच्या प्रतिनिधींनी कोणतीही जबाबदारी नाकारली त्रुटी शोषण करून. एनएसओ ग्रुप एक शोषण आणि स्पायवेअर विकसक आहे जो विविध सरकारी संस्थांना विक्री करतो.
ईमेलमध्ये एनएसओ ग्रुपच्या प्रतिनिधींनी शोषणाच्या खुलासा नंतर लिहिलेः
“एनएसओने विक्री केली नाही आणि कधीही शोषण किंवा असुरक्षा विकणार नाही. या पराक्रमाचा एनएसओशी काही संबंध नाही; आमचे कार्य गुप्तहेर संस्था आणि कायदा अंमलबजावणी करणार्या एजन्सींचे प्राण वाचविण्यात मदत करण्यासाठी डिझाइन केलेल्या उत्पादनांच्या विकासावर लक्ष केंद्रित करते.
इस्त्राईलमधील मूळ आणि मोबाईल टर्मिनल्सच्या हेरगिरीसाठी आणि «डिजिटल शस्त्रे the विकासासाठी सरकारांना तांत्रिक साहाय्याने मदत करणारा हा गट विद्यापीठाच्या सिटीझन लॅबच्या संशोधकांनी २०१ 2016 आणि २०१ in मध्ये केलेल्या शोधाच्या उदाहरणाने स्पष्ट केला आहे. टोरंटो कडील, त्याने विकसित केलेले पेगासस नावाचे एक प्रगत मोबाइल गुप्तचर सॉफ्टवेअर आहे.
Google सुरक्षा पॅचसह मेहनती आणि वेळेवरही आहे (मागील महिन्याप्रमाणेच Google ने Google पिक्सेल फोन आणि इतर बर्याच फोनसाठी सुरक्षा पॅच जारी केले.) परंतु या सर्वांमुळे Android मधील नवीन असुरक्षा टाळता आल्या नाहीत.
हे शोषण कर्नल विशेषाधिकार वाढ आहे एक असुरक्षितता वापरते, जे आक्रमणकर्त्यास असुरक्षित डिव्हाइसशी पूर्णपणे तडजोड करण्याची आणि मूळ करण्याची परवानगी देते. क्रोम सँडबॉक्स वरून शोषणात देखील प्रवेश केला जाऊ शकतो, एकदा सामग्रीच्या प्रस्तुत करण्यासाठी वापरल्या जाणार्या क्रोमच्या कोडमधील असुरक्षा लक्ष्यित करणार्या शोषणासह एकत्र केल्यावर ते वेबद्वारे देखील वितरित केले जाऊ शकते.
ही असुरक्षितता लिनक्स कर्नल एलटीएस आवृत्ती 2018 मध्ये 4.14 च्या सुरूवातीस निश्चित केल्याचा विश्वास आहे परंतु सीव्हीई ट्रॅकिंग नाही. निराकरण Android कर्नल आवृत्ती 3.18, 4.4 आणि 4.9 मध्ये समाविष्ट केले गेले आहे. तथापि, त्यानंतरच्या Android सुरक्षितता अद्यतनांवर तोडगा पोहोचला नाही, या दोषांमुळे बरीच साधने असुरक्षित ठेवली गेली जी आता सीव्हीई-2019-2215 म्हणून ट्रॅक केली गेली आहे.
प्रोजेक्ट झिरोच्या सदस्या मॅडी स्टोन यांनी एका संदेशात म्हटले आहे की "बग ही एक असुरक्षितता आहे जी स्थानिक सुविधा वाढवते आणि असुरक्षित उपकरणाची संपूर्ण तडजोड करण्यास परवानगी देते."
म्हणजे आक्रमणकर्ता प्रभावित डिव्हाइसवर एक दुर्भावनायुक्त अनुप्रयोग स्थापित करुन मूळवर पोहोचू शकतो वापरकर्त्याच्या माहितीशिवाय, जेणेकरून आपल्याकडे डिव्हाइसवर पूर्ण नियंत्रण असू शकेल. आणि हे Chrome ब्राउझरमधील दुसर्या शोषणासह एकत्र केले जाऊ शकते, म्हणून आक्रमणकर्ता डिव्हाइस ब्राउझरद्वारे दुर्भावनापूर्ण अनुप्रयोग वेब ब्राउझरद्वारे देखील वितरित करू शकते, ज्यामुळे डिव्हाइसमध्ये प्रवेश करणे आवश्यक आहे.
Google रिसर्च ग्रुपने प्रभावित डिव्हाइसेस म्हणून प्रकाशित केलेल्या डिव्हाइसेसची "नॉन-एक्झिक्यूटिव" सूची अशी आहे:
- पिक्सेल 1
- पिक्सेल 1 एक्सएल
- पिक्सेल 2
- पिक्सेल 2 एक्सएल
- उलाढाल P20
- झीयोमी रेडमि 5A
- झिओमी रेडमी टीप 5
- झिओमी एएक्सएनयूएमएक्स
- oppo A3
- मोटो Z3
- एलजी फोन
- Samsung S7
- Samsung S8
- Samsung S9
स्थानिक अंमलबजावणीदरम्यान या बगचा अनियंत्रित कर्नल वाचन / लेखन कसा करता येईल यासाठी हे सिद्ध करण्यासाठी प्रोजेक्ट झिरो रिसर्च टीमने लोकल प्रूफ ऑफ कॉन्सेप्ट शोषण केले.
तथापि, गूगलच्या झिरो प्रोजेक्ट टीमच्या दुसर्या सदस्याने म्हटले आहे की असुरक्षितता ऑक्टोबर अँड्रॉइड सिक्युरिटी अपडेटमध्ये आधीच निश्चित केली जाईल, जी पुढील काही दिवसांत उपलब्ध होईल.