चेतावनी: लाखों सैमसंग, शाओमी और LG यूजर्स बड़े खतरे में, पूरी तरह हैक हो सकता है फोन
गूगल ने जानकारी दी है कि इसके मोबाइल ऑपरेटिंग सिस्टम एंड्रॉयड पर काम करने वाले लाखों फोन्स अब सुरक्षित नहीं हैं। मालवेयर वाली खतरनाक ऐप्स अपनी पहचान छुपाकर यूजर्स को नुकसान पहुंचा सकती हैं।
एंड्रॉयड मोबाइल ऑपरेटिंग सिस्टम और MediaTek चिपसेट पर काम करने वाले ढेरों स्मार्टफोन्स इस्तेमाल करने वाले यूजर्स खतरे में हैं। इन यूजर्स के डिवाइसेज को आसानी से हैक किया जा सकता है और इन्हें नुकसान पहुंचाना साइबर अपराधियों के लिए आसान हो गया है। सामने आया है कि सैमसंग, शाओमी और LG के फोन इस्तेमाल करने वाले यूजर्स सीधे इस खतरे से प्रभावित हो सकते हैं और कंपनियां जरूरी कार्रवाई कर रही हैं।
गूगल के एंड्रॉयड पार्टनर सिक्योरिटी इनीशिएटिव ने बताया है कि सैमसंग और LG जैसी कंपनियों के स्मार्टफोन्स में मौजूद एक खामी के चलते लाखों यूजर्स प्रभावित हुए हैं। एंड्रॉयड OEMs (ओरिजनल इक्विपमेंट मैनुफैक्चरर्स) की ओर से इस्तेमाल की जाने वाली साइनिंग कीज लीक हो गई हैं, जिनकी मदद से मालवेयर या खतरनाक ऐप्स खुद को 'trusted' ऐप्स के तौर पर डिवाइसेज तक पहुंचा सकती हैं।
गूगल कर्मचारी ने दी खामी की जानकारी
डिवाइसेज में मौजूद सुरक्षा खामी की जानकारी गूगल में काम करने वाले Łukasz Siewierski ने दी और अपने ट्वीट्स में बताया कि किस तरह प्लेटफॉर्म सर्टिफिकेट्स का इस्तेमाल मालवेयर वाली ऐप्स को एंड्रॉयड फोन्स तक पहुंचाने के लिए किया जा रहा है। इन सर्टिफिकेट्स के चलते सिस्टम किसी असली ऐप और मालवेयर वाली ऐप के बीच फर्क नहीं कर पाता और फेक ऐप डिवाइस में पहुंचकर आसानी से यूजर को नुकसान पहुंचा सकती है।
हैकर्स के पास सिस्टम-लेवल परमिशंस
एंड्रॉयड प्लेटफॉर्म का की-ट्रस्टिंग मैकेनिज्म इस खामी के चलते अटैकर्स से धोखा खा सकता है। दरअसल, एंड्रॉयड प्लेटफॉर्म उस ऐप को भरोसेमंद मानता है जो इसकी असली साइनिंग की इस्तेमाल करता है। इसका इस्तेमाल कोर सिस्टम ऐप्लिकेशंस में किया जाता है। ये साइनिंग कीज लीक होने का मतलब है कि मालवेयर बनाने वालों को सिस्टम-लेवल परमिशंस मिल सकती हैं और वे कहीं ज्यादा खतरनाक ढंग से टारगेट डिवाइस में सेंध लगा सकते हैं।
यूजर्स को नहीं दिखाई जाएगी कोई चेतावनी
आम तौर पर कोई थर्ड-पार्टी ऐप या APK इंस्टॉल करने पर यूजर्स को चेतावनी दी जाती है लेकिन लीक्ड प्लेटफॉर्म कीज के चलते यह चेतावनी नहीं मिलेगी। थर्ड-पार्टी वेबसाइट या स्टोर से डाउनलोड की गई ऐप बिना किसी चेतावनी के इंस्टॉल हो जाएगी क्योंकि उसका सर्टिफिकेट सिस्टम से मेल खा रहा होगा। गूगल ने प्रभावित डिवाइसेज की लिस्ट नहीं जारी की है लेकिन सैमसंग, LG, MediaTek, शाओमी और Revoview के डिवाइसेज इससे प्रभावित हो सकते हैं।
लेटेस्ट सॉफ्टवेयर वर्जन फौरन करें इंस्टॉल
गूगल ने बताया है कि यह खामी सबसे पहले मई में सामने आई थी, जिसके बाद सैमसंग और अन्य कंपनियों ने इसके खतरे को कम करने से जुड़े कदम उठाए हैं। यूजर्स को उनके स्मार्टफोन का सॉफ्टवेयर लेटेस्ट वर्जन पर अपडेट करने की सलाह दी गई है। साथ ही किसी थर्ड-पार्टी सोर्स से ऐप्स डाउनलोड करना भी हैकिंग, जासूसी या डाटा लीक की वजह बन सकता है।