डेस्क। ड्रॉयड मोबाइल ऑपरेटिंग सिस्टम और MediaTek चिपसेट पर काम करने वाले ढेरों स्मार्टफोन्स इस्तेमाल करने वाले यूजर्स काफी खतरे में हैं। इन यूजर्स के डिवाइसेज को आसानी से हैक भी किया जा सकता है और इन्हें नुकसान पहुंचाना साइबर अपराधियों के लिए बहुत ही आसान हो गया है।
इसी कड़ी में सामने आया है कि सैमसंग, शाओमी और LG के फोन इस्तेमाल करने वाले यूजर्स सीधे इस खतरे से प्रभावित हो सकते हैं और कंपनियां जरूरी कार्रवाई भी कर रही हैं।
गूगल के एंड्रॉयड पार्टनर सिक्योरिटी इनीशिएटिव ने यह बताया है कि सैमसंग और LG जैसी कंपनियों के स्मार्टफोन्स में मौजूद एक खामी के चलते लाखों यूजर्स प्रभावित भी हुए हैं। वहीं एंड्रॉयड OEMs (ओरिजनल इक्विपमेंट मैनुफैक्चरर्स) की ओर से इस्तेमाल की जाने वाली साइनिंग कीज लीक भी हो गई हैं, जिनकी मदद से मालवेयर या खतरनाक ऐप्स खुद को ‘trusted’ ऐप्स के तौर पर डिवाइसेज तक पहुंचा भी सकती हैं।
गूगल ने दी खामी की जानकारी
डिवाइसेज में मौजूद सुरक्षा खामी की जानकारी गूगल में काम करने वाले Łukasz Siewierski ने लोगों के साथ साझा की है और अपने ट्वीट्स में यह बताया कि किस तरह प्लेटफॉर्म सर्टिफिकेट्स का इस्तेमाल मालवेयर वाली ऐप्स को एंड्रॉयड फोन्स तक पहुंचाने के लिए किया जा रहा है। वहीं इन सर्टिफिकेट्स के चलते सिस्टम किसी असली ऐप और मालवेयर वाली ऐप के बीच फर्क नहीं कर पाता और फेक ऐप डिवाइस में पहुंचकर आसानी से यूजर को नुकसान भी पहुंचा सकती है।
हैकर्स के पास सिस्टम-लेवल की परमिशंस
एंड्रॉयड प्लेटफॉर्म का की-ट्रस्टिंग मैकेनिज्म इस खामी के चलते अटैकर्स से धोखा भी खा सकता है। दरअसल, एंड्रॉयड प्लेटफॉर्म उस ऐप को भरोसेमंद बनाता है जो इसकी असली साइनिंग को इस्तेमाल करता है। वहीं इसका इस्तेमाल कोर सिस्टम ऐप्लिकेशंस में भी किया जाता है। ये साइनिंग कीज लीक होने का मतलब है कि मालवेयर बनाने वालों को सिस्टम-लेवल परमिशंस भी मिल सकती हैं और वे कहीं ज्यादा खतरनाक ढंग से टारगेट डिवाइस में सेंध लगा भी सकते हैं।
वहीं आम तौर पर कोई थर्ड-पार्टी ऐप या APK इंस्टॉल करने पर यूजर्स को चेतावनी भी दी जाती है लेकिन लीक्ड प्लेटफॉर्म कीज के चलते यह चेतावनी आपको नहीं मिलेगी। साथ ही थर्ड-पार्टी वेबसाइट या स्टोर से डाउनलोड की गई ऐप बिना किसी चेतावनी के इंस्टॉल भी हो जाएगी क्योंकि उसका सर्टिफिकेट सिस्टम से मेल भी खा रहा होगा। पर गूगल ने प्रभावित डिवाइसेज की लिस्ट नहीं जारी की है लेकिन सैमसंग, LG, MediaTek, शाओमी और Revoview के डिवाइसेज इससे काफी प्रभावित हो सकते हैं।
गूगल ने यह भी बताया है कि यह खामी सबसे पहले मई में सामने आई थी, जिसके बाद सैमसंग और अन्य कंपनियों ने इसके खतरे को कम करने से जुड़े कई कदम उठाए भी हैं। वहीं यूजर्स को उनके स्मार्टफोन का सॉफ्टवेयर लेटेस्ट वर्जन पर अपडेट करने की सलाह भी दी गई है। साथ ही किसी थर्ड-पार्टी सोर्स से ऐप्स डाउनलोड करना भी हैकिंग, जासूसी या डाटा लीक होने का कारण बन सकता है।