اینڈروئیڈ 'اسٹیجفائٹ' استحصال: آپ کو کیا جاننے کی ضرورت ہے۔

جولائی 2015 میں ، سیکیورٹی کمپنی زیمپیریم نے اعلان کیا تھا کہ اس نے اینڈروئیڈ آپریٹنگ سسٹم کے اندر خطرے کی ایک "ایک تنگاڑی" دریافت کی ہے۔ اگست کے شروع میں بلیک ہیٹ کانفرنس میں مزید تفصیلات عوامی طور پر انکشاف کی گئیں - لیکن یہ اعلان کرنے سے پہلے ہی نہیں کہ تقریبا ایک ارب اینڈرائیڈ ڈیوائسز کو ممکنہ طور پر ان کے صارفین کے بغیر بھی سنبھال لیا جاسکتا ہے۔

تو "اسٹیج فراٹ" کیا ہے؟ اور کیا آپ کو اس کی فکر کرنے کی ضرورت ہے؟

مزید معلومات جاری ہونے کے بعد ہم اس پوسٹ کو مستقل طور پر تازہ کاری کر رہے ہیں۔ یہاں ہم جانتے ہیں ، اور آپ کو کیا جاننے کی ضرورت ہے۔

اسٹیجفائٹ کیا ہے؟

"اسٹیج رائٹ" ایک ممکنہ استحصال کو دیا جانے والا لقب ہے جو اینڈروئیڈ آپریٹنگ سسٹم کے اندر کافی حد تک گہری رہتا ہے۔ خلاصہ یہ ہے کہ ایم ایم ایس (ٹیکسٹ میسج) کے ذریعے بھیجی گئی ویڈیو کو نظریاتی طور پر لِبسٹیجائٹ میکانزم (اس طرح "اسٹیجفائٹ" نام) کے ذریعے حملے کے ایک موقع کے طور پر استعمال کیا جاسکتا ہے ، جو اینڈرائیڈ کو ویڈیو فائلوں پر کارروائی کرنے میں مدد کرتا ہے۔ متعدد ٹیکسٹ میسجنگ ایپس - خاص طور پر گوگل کے ہنگس ایپ کا ذکر کیا گیا تھا - خود بخود اس ویڈیو پر عمل درآمد ہوتا ہے لہذا یہ پیغام کھولتے ہی دیکھنے کے لئے تیار ہوجاتا ہے ، اور لہذا نظریاتی طور پر یہ حملہ آپ کو معلوم کیے بغیر بھی ہوسکتا ہے۔

چونکہ لبسٹیج فریٹ اینڈروئیڈ 2.2 پر مشتمل ہے ، لہذا سیکڑوں لاکھوں فون اس ناقص لائبریری پر مشتمل ہیں۔

اگست 17-18: استحصال باقی ہے؟

جس طرح گوگل نے اپنی گٹھ جوڑ لائن کے بارے میں تازہ کاریوں کا آغاز کرنا شروع کیا ، ایکزڈس فرم نے ایک بلاگ پوسٹ شائستہ طور پر شائع کی جس میں کہا گیا ہے کہ کم سے کم ایک استحصال بے نتیجہ رہا ، اس سے یہ ظاہر ہوتا ہے کہ گوگل نے اس کوڈ کے ساتھ غلطی پیدا کردی۔ برطانیہ کی اشاعت دی رجسٹر ، بھرپور تحریری طور پر ، ریپڈ 7 کے ایک انجینئر کے حوالے سے کہتی ہے کہ اگلی فکس ستمبر کی سیکیورٹی اپ ڈیٹ میں آئے گی - جو ماہانہ سیکیورٹی کی نئی پیچکاری کے عمل کا ایک حصہ ہے۔

گوگل ، ابھی تک ، اس تازہ ترین دعوے کے بارے میں عوامی طور پر توجہ نہیں دے سکا۔

اس کے بارے میں مزید تفصیلات کی عدم موجودگی میں ، ہم یہ یقین کرنے کے لئے مائل ہیں کہ بدقسمتی سے ہم واپس آئے ہیں جہاں سے ہم نے شروع کیا ہے - کہ لائبسٹیج فائٹ میں خامیاں ہیں ، لیکن یہ کہ سیکیورٹی کی دوسری پرتیں بھی موجود ہیں جن کو آلات کے امکان کو کم کرنا چاہئے۔ اصل میں استحصال کیا جارہا ہے۔

18 اگست کو۔ ٹرینڈ مائیکرو نے لیبسٹیج فریٹ میں ایک اور خامی پر بلاگ پوسٹ شائع کی۔ اس نے کہا کہ اس کے استحصال کا واقعتا used استعمال ہونے کا کوئی ثبوت نہیں ہے ، اور یہ کہ گوگل نے 1 اگست کو اینڈرائیڈ اوپن سورس پروجیکٹ کو پیچ شائع کیا۔

5 اگست تک اسٹیج رائٹ کی نئی تفصیلات۔

لاس ویگاس میں بلیک ہیٹ کانفرنس کے ساتھ - جس میں اسٹیج رائٹ کے خطرے کی مزید تفصیلات کا عوامی طور پر انکشاف کیا گیا تھا - گوگل نے خاص طور پر اس صورتحال پر توجہ دی ، جس میں اینڈروئیڈ سیکیورٹی کے لیڈ انجینئر ایڈرین لوڈگ نے این پی آر کو بتایا کہ "فی الحال ، 90 فیصد Android ڈیوائسز کے پاس ایک ٹکنالوجی موجود ہے ASLR सक्षम ، جو صارفین کو مسئلے سے بچاتا ہے۔

یہ سب "900 ملین اینڈروئیڈ ڈیوائسز کمزور ہیں" لائن کے ساتھ بہت مشکل ہے۔ اگرچہ ہم تعداد پر الفاظ اور پیڈنٹری کی لڑائی میں نہیں پڑنے جا رہے ہیں ، لیکن لڈ وِگ جو کچھ کہہ رہا تھا وہ یہ ہے کہ اینڈروئیڈ 4.0. running یا اس سے زیادہ چلانے والے ڈیوائسز - جو گوگل سروسز کے ساتھ چلنے والے تمام متحرک آلات میں سے تقریبا 95 95 فیصد ہیں۔ میں تعمیر ایک بفر اوور فلو حملہ

اے ایس ایل آر (ایک ڈریس ایس پیس ایل آؤٹ آر اینڈومائزیشن) ایک ایسا طریقہ ہے جو حملہ آور کو قابل اعتماد طریقے سے اس فعل کی تلاش سے روکتا ہے جو وہ عمل کے میموری ایڈریس اسپیس کے بے ترتیب انتظام کے ذریعہ کوشش کرنے اور ان کا استحصال کرنا چاہتا ہے۔ ASLR جون 2005 سے ڈیفالٹ لینکس کرنل میں فعال ہے ، اور اسے Android 4.0 میں ورجن 4.0 (آئس کریم سینڈویچ) کے ساتھ شامل کیا گیا ہے۔

یہ کس طرح منہ کی بات ہے؟

اس کا مطلب یہ ہے کہ جو پروگرام یا خدمت چل رہی ہے اس کے کلیدی حصے ہر بار رام میں ایک ہی جگہ پر نہیں ڈالے جاتے ہیں۔ چیزوں کو تصادفی طور پر میموری میں ڈالنے کا مطلب ہے کہ کسی بھی حملہ آور کو اندازہ لگانا پڑتا ہے کہ وہ جس ڈیٹا کا استحصال کرنا چاہتے ہیں اسے کہاں تلاش کرنا ہے۔

یہ ایک درست طے نہیں ہے ، اور جب کہ ایک عام تحفظ کا طریقہ کار اچھا ہے ، ہمیں اب بھی معلوم کارناموں کے خلاف براہ راست پیچ کی ضرورت ہے جب وہ پیدا ہوں۔ گوگل ، سیمسنگ (1) ، (2) اور الکاٹیل نے اسٹیج فائیٹ کے لئے براہ راست پیچ کا اعلان کیا ہے ، اور سونی ، ایچ ٹی سی اور ایل جی کا کہنا ہے کہ وہ اگست میں اپ ڈیٹ پیچ جاری کریں گے۔

یہ استحصال کون پایا؟

بلیک ہیٹ کانفرنس میں اس کی سالانہ پارٹی کے اعلان کے ایک حصے کے طور پر موبائل سیکیورٹی فرم زیمپیریم نے 21 جولائی کو استحصال کا اعلان کیا تھا۔ ہاں ، آپ نے یہ صحیح پڑھا ہے۔ اس "تمام اینڈروئیڈ خرابی کی صلاحیتوں کی ماں ،" جیسا کہ زیمپیریم نے بتایا ہے ، کا اعلان 21 جولائی (کسی نے بظاہر کسی کی دیکھ بھال کرنے کا فیصلہ کرنے سے ایک ہفتہ قبل) اور 6 اگست کی شام کو زیمپیریم کے کچھ ہی الفاظ میں "اس سے بھی بڑی بمشکل" کا اعلان کیا تھا۔ ویگاس پارٹی کے منظر کو روکیں! " اور آپ جانتے ہو کہ یہ ایک راجر بننے والا ہے کیونکہ یہ "ہمارے پسندیدہ ننجا کے لئے ہماری سالانہ ویگاس پارٹی ہے ،" مکمل طور پر راکین کے ہیش ٹیگ اور ہر چیز کے ساتھ۔

اس کا استحصال کتنا وسیع ہے؟

ایک بار پھر ، خود لائبسٹیجریٹ لائبریری میں خامیوں والے آلات کی تعداد بہت بڑی ہے ، کیونکہ یہ او ایس میں ہی ہے۔ لیکن جیسا کہ متعدد بار گوگل نے نوٹ کیا ، اس کے علاوہ بھی دوسرے طریقے موجود ہیں جن کو آپ کے آلے کی حفاظت کرنی چاہئے۔ اس کو تہوں میں سلامتی کے طور پر سوچیں۔

تو کیا مجھے اسٹیج رائٹ کی فکر کرنی چاہئے یا نہیں؟

اچھی خبر یہ ہے کہ اس محقق کو جس نے اسٹیجفائٹ میں اس خامی کو دریافت کیا تھا "اسے یقین نہیں ہے کہ جنگلی میں موجود ہیکر اس کا استحصال کررہے ہیں۔" تو یہ ایک بہت ہی بری چیز ہے جو بظاہر کوئی بھی واقعتا کسی کے خلاف استعمال نہیں کررہا ہے ، کم از کم اس شخص کے مطابق۔ اور ، ایک بار پھر ، گوگل کا کہنا ہے کہ اگر آپ اینڈرائڈ 4.0 یا اس سے اوپر کا استعمال کررہے ہیں تو ، آپ شاید ٹھیک ہو جائیں گے۔

اس کا مطلب یہ نہیں ہے کہ یہ برا ممکنہ استحصال نہیں ہے۔ یہ ہے. اور یہ کارخانہ دار اور کیریئر ماحولیاتی نظام کے ذریعہ اپ ڈیٹ ہونے سے متعلق مشکلات کو مزید اجاگر کرتا ہے۔ دوسری طرف ، یہ استحصال کرنے کا ایک ممکنہ موقع ہے جو بظاہر اینڈروئیڈ 2.2 - یا بنیادی طور پر پچھلے پانچ سالوں سے قریب ہے۔ یہ آپ کے نقطہ نظر پر منحصر ہے ، یا تو آپ کو ٹک ٹک ٹائم بم ، یا ایک سومی سسٹ بناتا ہے۔

اور اس کے حصے کے لئے ، جولائی میں گوگل نے اینڈروئیڈ سنٹرل پر اعادہ کیا کہ صارفین کی حفاظت کے لئے متعدد میکانزم موجود ہیں۔

ہم نے جوشوا ڈریک کو ان کی شراکت کا شکریہ ادا کیا۔ اینڈرائیڈ صارفین کی سیکیورٹی ہمارے لئے انتہائی اہم ہے لہذا ہم نے تیزی سے جواب دیا اور شراکت داروں کو پیچ پہلے ہی فراہم کردیئے گئے ہیں جو کسی بھی ڈیوائس پر لاگو ہوسکتے ہیں۔

زیادہ تر اینڈروئیڈ آلات ، بشمول تمام نئے آلات ، میں متعدد ٹیکنالوجیز ہیں جو استحصال کو زیادہ مشکل بنانے کے لئے ڈیزائن کی گئیں ہیں۔ اینڈروئیڈ ڈیوائسز میں ایک ایپلی کیشن سینڈ باکس بھی شامل ہے جو صارف کے ڈیٹا اور ڈیوائس پر موجود دیگر ایپلیکیشنز کی حفاظت کے لئے ڈیزائن کیا گیا ہے۔

اسٹیجفائٹ کو ٹھیک کرنے کے ل updates اپڈیٹس کے بارے میں کیا خیال ہے؟

اس کو صحیح معنوں میں پیچ کرنے کے لئے ہمیں سسٹم اپ ڈیٹ کی ضرورت ہوگی۔ 12 اگست کو ہونے والے ایک بلیٹن میں اپنے نئے "اینڈرائڈ سیکیورٹی گروپ" میں ، گوگل نے ایک "گٹھ جوڑ سیکیورٹی بلیٹن" جاری کیا جس میں اس کے اختتام سے معاملات کی تفصیل دی گئی ہے۔ متعدد سی وی ای (عام نقصانات اور نمائشیں) کے بارے میں تفصیلات موجود ہیں ، بشمول شراکت داروں کو مطلع کیا گیا (10 اپریل کے اوائل میں ، ایک کے لئے) ، جو اینڈروئیڈ کی خصوصیات والی اصلاحات (Android 5.1.1 ، بلٹ LMY48I) اور کسی دوسرے تخفیف عوامل (مذکورہ ASLR میموری اسکیم)

گوگل نے یہ بھی کہا کہ اس نے اپنے ہینگٹس اور میسنجر ایپس کو اپ ڈیٹ کیا ہے تاکہ وہ بیک گراؤنڈ میں ویڈیو پیغامات پر خود کار طریقے سے عمل نہ کریں "تاکہ میڈیا خود بخود میڈیسور پروسیس میں منتقل نہ ہو۔"

بری خبر یہ ہے کہ بیشتر لوگ سسٹم کی تازہ کاریوں کو آگے بڑھانے کے ل the مینوفیکچررز اور کیریئرز کا انتظار کرنا چاہتے ہیں۔ لیکن ، ایک بار پھر - جب ہم وہاں 900 ملین کمزور فونز کی طرح کچھ بات کر رہے ہیں تو ، ہم استحصال کے صفر کے مشہور معاملات پر بھی بات کر رہے ہیں۔ وہ بہت اچھی مشکلات ہیں۔

ایچ ٹی سی نے کہا ہے کہ یہاں سے آنے والی تازہ کاریوں میں اس کی اصلاح ہوگی۔ اور سیانوجین موڈ ان کو بھی شامل کررہا ہے۔

موٹرولا کا کہنا ہے کہ اس کے موجودہ نسل کے تمام فونز - موٹو ای سے لے کر تازہ ترین موٹو ایکس (اور اس کے درمیان کی ہر چیز) پر پیچ لگ جائے گا ، جس کا کوڈ 10 اگست سے شروع ہونے والے کیریئر تک جائے گا۔

5 اگست کو ، گوگل نے گٹھ جوڑ 4 ، گٹھ جوڑ 5 ، گٹھ جوڑ 6 ، گٹھ جوڑ 7 ، گٹھ جوڑ 9 اور گٹھ جوڑ 10 کے لئے سسٹم کی نئی تصاویر جاری کیں۔ گوگل نے بھی اعلان کیا کہ وہ گٹھ جوڑ لائن کے لئے گٹھ جوڑ لائن کے لئے ماہانہ سیکیورٹی اپڈیٹس جاری کرے گا۔ (دوسرا عوامی طور پر جاری کردہ ایم پری ویو بلڈ پہلے ہی پیچ کی طرح دکھائی دیتا ہے۔)

اور جب اس نے اسٹیج رائٹ کے استحصال کا نام نہیں لیا تھا ، اس سے قبل گوگل کے گوگل کے ایڈرین لڈ وگ نے ​​پہلے ہی عام طور پر کارناموں اور سیکیورٹی کو حل کیا تھا ، پھر سے ہمیں ان متعدد پرتوں کی یاد دلادی جو صارفین کے تحفظ میں ہیں۔ وہ لکھتا ہے:

یہاں عام ، غلط فہم ہے کہ کسی بھی سافٹ ویئر بگ کو سیکیورٹی کے استحصال میں تبدیل کیا جاسکتا ہے۔ در حقیقت ، زیادہ تر کیڑے استحصال نہیں کرتے ہیں اور بہت ساری چیزیں Android نے ان مشکلات کو بہتر بنانے کے لئے کی ہیں۔ ہم نے پچھلے 4 سال ایک طرح کے مسئلے - میموری بدعنوانی کیڑے - اور ان کیڑے کو استحصال کرنے میں مزید مشکل بنانے کی کوششوں پر مبنی ٹیکنالوجیز میں بہت زیادہ سرمایہ کاری کی ہے۔