यह वास्तव में लगता है की तुलना में थोड़ा बदतर है। मीडिया ने बड़े पैमाने पर एमएमएस हमले की विधि पर ध्यान केंद्रित किया है, लेकिन वेब पृष्ठों या ऐप्स में एम्बेडेड एमपी 4 वीडियो भी आपके फोन या टैबलेट से समझौता कर सकते हैं।
स्टेजफ्राइट दोष क्यों खतरनाक है - यह सिर्फ एमएमएस नहीं है
कुछ टिप्पणीकारों ने इस हमले को "स्टेजफ्राइट" कहा है, लेकिन यह वास्तव में एंड्रॉइड में एक घटक पर स्टेजफ्राइट नामक एक हमला है। यह एंड्रॉइड में एक मल्टीमीडिया प्लेयर घटक है। इसमें एक भेद्यता है जिसका शोषण किया जा सकता है - एमएमएस के माध्यम से सबसे खतरनाक रूप से, जो एम्बेडेड मल्टीमीडिया घटकों के साथ एक टेक्स्ट संदेश है।
कई एंड्रॉइड फोन निर्माताओं ने स्टेजफ्राइट सिस्टम अनुमतियों को देने के लिए अनजाने में चुना है, जो रूट पहुंच से एक कदम नीचे है। एक्सप्लॉयटिंग स्टेजफ्राइट डिवाइस पर कॉन्फ़िगर किए जाने के तरीके के आधार पर किसी हमलावर को "मीडिया" या "सिस्टम" अनुमतियों के साथ आर्बिटिररी कोड चलाने की अनुमति देता है। सिस्टम अनुमतियां हमलावर को मूल रूप से अपने डिवाइस पर पूर्ण Acess प्रदान करेंगे। जिम्पेरियम, जिस संगठन ने इस मुद्दे की खोज की और रिपोर्ट की, वह अधिक जानकारी प्रदान करता है।
विशिष्ट एंड्रॉइड टेक्स्ट मैसेजिंग ऐप स्वचालित रूप से आने वाले एमएमएस संदेशों को पुनर्प्राप्त करते हैं। इसका मतलब है कि आप किसी को टेलीफोन नेटवर्क पर आपको एक संदेश भेजकर समझौता किया जा सकता है। आपके फोन से समझौता किए जाने के साथ, इस भेद्यता का उपयोग करने वाला एक कीड़ा आपके संपर्कों को पढ़ सकती है और आपके संपर्कों में दुर्भावनापूर्ण एमएमएस संदेश भेज सकती है, जैसे मेलिसा वायरस जैसे जंगल की आग फैल रही है, 1 999 में आउटलुक और ईमेल संपर्कों का उपयोग करके।
शुरुआती रिपोर्ट एमएमएस पर केंद्रित थी क्योंकि वह सबसे संभावित खतरनाक वेक्टर स्टेजफ्राइट का लाभ उठा सकता था। लेकिन यह सिर्फ एमएमएस नहीं है। जैसा कि ट्रेंड माइक्रो ने बताया, यह भेद्यता "mediaserver" घटक में है और एक वेब पेज पर एम्बेडेड एक दुर्भावनापूर्ण एमपी 4 फ़ाइल इसका फायदा उठा सकती है - हाँ, बस अपने वेब ब्राउज़र में एक वेब पेज पर जाकर। एक ऐप में एम्बेडेड एक एमपी 4 फ़ाइल जो आपके डिवाइस का शोषण करना चाहती है वही कर सकती है।
क्या आपका स्मार्टफोन या टैबलेट कमजोर है?
आपका एंड्रॉइड डिवाइस शायद कमजोर है। जंगली में एंड्रॉइड डिवाइस का पचास प्रतिशत स्टेजफ्राइट के लिए कमजोर है।
निश्चित रूप से जांचने के लिए, Google Play से स्टेजफ़ाइट डिटेक्टर ऐप इंस्टॉल करें। यह ऐप ज़िमरीयम द्वारा बनाया गया था, जिसने स्टेजफ्राइट भेद्यता की खोज की और रिपोर्ट की। यह आपके डिवाइस की जांच करेगा और आपको बताएगा कि क्या स्टेजफ़ाइट आपके एंड्रॉइड फोन पर पैच किया गया है या नहीं।
यदि आप कमजोर हैं तो Stagefright हमलों को कैसे रोकें
जहां तक हम जानते हैं, एंड्रॉइड एंटीवायरस ऐप्स आपको स्टेजफ़ाइट हमलों से नहीं बचाएंगे। उनके पास एमएमएस संदेशों को रोकने और सिस्टम घटकों के साथ हस्तक्षेप करने के लिए पर्याप्त सिस्टम अनुमतियां नहीं हैं। Google इस बग को ठीक करने के लिए एंड्रॉइड में Google Play Services घटक को भी अपडेट नहीं कर सकता है, जब सुरक्षा छेद दिखाते हैं तो Google अक्सर पैचवर्क समाधान करता है।
वास्तव में समझौता करने से खुद को रोकने के लिए, आपको अपने संदेश एप को पसंद करने और एमएमएस संदेशों को लॉन्च करने से रोकने की जरूरत है। आम तौर पर, इसका मतलब है कि इसकी सेटिंग्स में "एमएमएस ऑटो-पुनर्प्राप्ति" सेटिंग अक्षम करना। जब आप एक एमएमएस संदेश प्राप्त करते हैं, तो यह स्वचालित रूप से डाउनलोड नहीं होगा - आपको प्लेसहोल्डर या कुछ समान टैप करके इसे डाउनलोड करना होगा। जब तक आप एमएमएस डाउनलोड नहीं करना चुनते हैं तब तक आपको जोखिम नहीं होगा।
आपको यह नहीं करना चाहिए। यदि एमएमएस किसी ऐसे व्यक्ति से है जिसे आप नहीं जानते हैं, तो निश्चित रूप से इसे अनदेखा करें। अगर एमएमएस एक दोस्त से है, तो यह संभव होगा कि अगर कोई कीड़ा बंद हो जाए तो उनके फोन से समझौता किया गया है। यदि आपका फोन कमजोर है तो एमएमएस संदेशों को कभी भी डाउनलोड करना सबसे सुरक्षित है।
एमएमएस संदेश ऑटो-पुनर्प्राप्ति को अक्षम करने के लिए, अपने मैसेजिंग ऐप के लिए उचित चरणों का पालन करें।
- संदेश (एंड्रॉइड में बनाया गया): ओपन मैसेजिंग, मेनू बटन टैप करें, और सेटिंग्स टैप करें। "मल्टीमीडिया (एमएमएस) संदेश" अनुभाग पर नीचे स्क्रॉल करें और "स्वतः पुनर्प्राप्त करें" अनचेक करें।
- मैसेंजर (Google द्वारा): ओपन मैसेंजर, मेनू टैप करें, सेटिंग्स टैप करें, उन्नत टैप करें, और "ऑटो पुनर्प्राप्त करें" अक्षम करें।
- Hangouts (Google द्वारा): Hangouts खोलें, मेनू टैप करें, और सेटिंग> एसएमएस पर नेविगेट करें। उन्नत के तहत "ऑटो पुनर्प्राप्त एसएमएस" अनचेक करें। (यदि आपको यहां एसएमएस विकल्प नहीं दिखाई दे रहे हैं, तो आपका फोन एसएमएस के लिए Hangouts का उपयोग नहीं कर रहा है। इसके बजाय आपके द्वारा उपयोग किए जाने वाले एसएमएस ऐप में सेटिंग अक्षम करें।)
- संदेश (सैमसंग द्वारा): खुले संदेश और अधिक> सेटिंग्स> अधिक सेटिंग्स पर नेविगेट करें। मल्टीमीडिया संदेश टैप करें और "ऑटो पुनर्प्राप्ति" विकल्प अक्षम करें। यह सेटिंग विभिन्न सैमसंग उपकरणों पर एक अलग स्थान पर हो सकती है, जो संदेश ऐप के विभिन्न संस्करणों का उपयोग करती है।
यहां एक पूरी सूची बनाना असंभव है। बस एसएमएस संदेश (टेक्स्ट संदेश) भेजने के लिए उपयोग किए जाने वाले ऐप को खोलें और एक विकल्प ढूंढें जो एमएमएस संदेशों के "ऑटो पुनर्प्राप्ति" या "स्वचालित डाउनलोड" को अक्षम कर देगा।
चेतावनी: यदि आप एक एमएमएस संदेश डाउनलोड करना चुनते हैं, तो आप अभी भी कमजोर हैं।और, जैसा कि स्टेजफ्राइट भेद्यता केवल एक एमएमएस संदेश मुद्दा नहीं है, यह आपको हर तरह के हमले से पूरी तरह से सुरक्षित नहीं करेगा।
आपका फोन कब पैच प्राप्त कर रहा है?
बग के आसपास काम करने की कोशिश करने के बजाय, यह बेहतर होगा अगर आपके फोन को अभी एक अपडेट प्राप्त हुआ जो इसे ठीक करता है। दुर्भाग्यवश, एंड्रॉइड अपडेट की स्थिति वर्तमान में एक दुःस्वप्न है। यदि आपके पास हालिया फ्लैगशिप फोन है, तो आप शायद किसी बिंदु पर अपग्रेड की उम्मीद कर सकते हैं - उम्मीद है। यदि आपके पास एक पुराना फोन है, खासकर निचला अंत फोन, तो एक अच्छा मौका है कि आपको कभी अपडेट नहीं मिलेगा।
- नेक्सस डिवाइस: Google ने अब नेक्सस 4, नेक्सस 5, नेक्सस 6, नेक्सस 7 (2013), नेक्सस 9, और नेक्सस 10 के लिए अपडेट जारी किए हैं। मूल नेक्सस 7 (2012) स्पष्ट रूप से समर्थित नहीं है और पैच नहीं किया जाएगा
- सैमसंग: स्प्रिंट ने गैलेक्सी एस 5, एस 6, एस 6 एज, और नोट एज को अपडेट को धक्का देना शुरू कर दिया है। यह अस्पष्ट है जब अन्य वाहक इन अद्यतनों को दबा रहे हैं।
Google ने एआरएस टेक्निका को यह भी बताया कि "सबसे लोकप्रिय एंड्रॉइड डिवाइस" अगस्त में अपडेट प्राप्त करेंगे, जिसमें निम्न शामिल हैं:
- सैमसंग: गैलेक्सी एस 3, एस 4, और नोट 4, उपरोक्त फोन के अलावा।
- एचटीसी: वन एम 7, वन एम 8, और वन एम 9।
- एलजी: जी 2, जी 3, और जी 4।
- सोनी: एक्सपीरिया जेड 2, जेड 3, जेड 4, और जेड 3 कॉम्पैक्ट।
- एंड्रॉयड वन Google द्वारा समर्थित डिवाइस
मोटोरोला ने यह भी घोषणा की है कि यह अगस्त में शुरू होने वाले अपडेट के साथ अपने फोन को पैच करेगा, जिसमें मोटो एक्स (पहली और दूसरी पीढ़ी), मोटो एक्स प्रो, मोटो मैक्सक्स / टर्बो, मोटो जी (प्रथम, 2, और तीसरी पीढ़ी), मोटो जी 4 जी एलटीई (पहली और दूसरी पीढ़ी), मोटो ई (पहली और दूसरी पीढ़ी), 4 जी एलटीई (दूसरी पीढ़ी), ड्रॉइड टर्बो, और ड्रॉइड अल्ट्रा / मिनी / मैक्स के साथ मोटो ई।
Google नेक्सस, सैमसंग और एलजी सभी महीने प्रति माह एक बार सुरक्षा अपडेट के साथ अपने फोन अपडेट करने के लिए प्रतिबद्ध हैं। हालांकि, यह वादा केवल फ्लैगशिप फोन पर लागू होता है और वाहकों को सहयोग करने की आवश्यकता होगी। यह अस्पष्ट है कि यह कितना अच्छा काम करेगा। वाहक संभावित रूप से इन अद्यतनों के रास्ते में खड़े हो सकते हैं, और यह अभी भी बड़ी संख्या में - हजारों अलग-अलग मॉडल - अद्यतन के बिना उपयोग में आने वाले फोन छोड़ देता है।
या, बस CyanogenMod स्थापित करें
साइनोजनमोड एंड्रॉइड का तीसरा पक्ष कस्टम रोम है जो अक्सर उत्साही लोगों द्वारा उपयोग किया जाता है। यह एंड्रॉइड का एक मौजूदा संस्करण उन उपकरणों पर लाता है जिन्हें निर्माताओं ने समर्थन देना बंद कर दिया है। यह औसत व्यक्ति के लिए वास्तव में आदर्श समाधान नहीं है क्योंकि इसे आपके फोन के बूटलोडर को अनलॉक करने की आवश्यकता होती है। लेकिन, यदि आपका फोन समर्थित है, तो आप वर्तमान सुरक्षा अपडेट के साथ एंड्रॉइड का वर्तमान संस्करण प्राप्त करने के लिए इस चाल का उपयोग कर सकते हैं। यदि आपके फोन को अब इसके निर्माता द्वारा समर्थित नहीं किया जा रहा है, तो CyanogenMod इंस्टॉल करना बुरा विचार नहीं है।
CyanogenMod ने रात के संस्करणों में स्टेजफ़ाइट भेद्यता को ठीक कर दिया है, और फिक्स को इसे ओटीए अपडेट के माध्यम से जल्द ही स्थिर संस्करण में बनाना चाहिए।
एंड्रॉइड में कोई समस्या है: अधिकांश डिवाइस सुरक्षा अपडेट प्राप्त नहीं करते हैं
दुख की बात है कि यह पुराने सुरक्षा उपकरणों में से कई सुरक्षा छेदों में से एक है। यह सिर्फ एक विशेष रूप से बुरा है जो अधिक ध्यान दे रहा है। एंड्रॉइड डिवाइस के अधिकांश - एंड्रॉइड 4.3 और पुराने वाले सभी डिवाइस - उदाहरण के लिए एक कमजोर वेब ब्राउज़र घटक हैं। यह तब तक पैच नहीं किया जाएगा जब तक कि डिवाइस एंड्रॉइड के नए संस्करण में अपग्रेड न हो जाए। आप क्रोम या फ़ायरफ़ॉक्स चलाकर अपने आप को सुरक्षित रखने में मदद कर सकते हैं, लेकिन उस कमजोर ब्राउज़र हमेशा उन उपकरणों पर तब तक रहेगा जब तक उन्हें प्रतिस्थापित नहीं किया जाता है। निर्माता उन्हें अद्यतन और रखरखाव रखने में रुचि नहीं रखते हैं, यही कारण है कि बहुत से लोग साइनोजनमोड में बदल गए हैं।
Google, एंड्रॉइड डिवाइस निर्माताओं, और सेलुलर वाहकों को अपने कार्य को क्रम में प्राप्त करने की आवश्यकता है, क्योंकि अद्यतन करने की वर्तमान विधि - या बल्कि अपडेट नहीं हो रही है - एंड्रॉइड डिवाइस एंड्रॉइड पारिस्थितिक तंत्र की ओर अग्रसर है, जिसमें समय के साथ छेद बनाने वाले डिवाइस हैं। यही कारण है कि iPhones एंड्रॉइड फोन की तुलना में अधिक सुरक्षित हैं - iPhones वास्तव में सुरक्षा अद्यतन प्राप्त करते हैं। ऐप्पल ने Google (केवल नेक्सस फोन), सैमसंग और एलजी से लंबे समय तक आईफोन को अपडेट करने के लिए प्रतिबद्ध हैं, अपने फोन को अपग्रेड करने के लिए भी काम कर रहे हैं।
आपने शायद सुना है कि विंडोज एक्सपी का उपयोग खतरनाक है क्योंकि इसे अब अपडेट नहीं किया जा रहा है। XP समय के साथ सुरक्षा छेद का निर्माण जारी रखेगा और अधिक से अधिक कमजोर हो जाएगा। खैर, अधिकांश एंड्रॉइड फोन का उपयोग करना वही तरीका है - वे सुरक्षा अपडेट भी प्राप्त नहीं कर रहे हैं।
कुछ शोषण कम करने से स्टेजफ्राइट कीड़े को लाखों एंड्रॉइड फोन लेने से रोकने में मदद मिल सकती है। Google का तर्क है कि एंड्रॉइड के हाल के संस्करणों पर एएसएलआर और अन्य सुरक्षा स्टेजफ्राइट पर हमला करने से रोकने में मदद करती है, और यह आंशिक रूप से सच प्रतीत होती है।
कुछ सेलुलर वाहक भी अपने अंत में संभावित रूप से दुर्भावनापूर्ण एमएमएस संदेश को अवरुद्ध कर रहे हैं, जो उन्हें कमजोर फोन तक पहुंचने से रोकते हैं। यह कम से कम वाहक लेने पर एमएमएस संदेशों के माध्यम से एक कीड़े को फैलने से रोकने में मदद करेगा।