اسٹیجریفائٹ ، Android کی کمزوری ہے جسے کچھ نے اینڈروئیڈ سیکیورٹی کے بدترین مسئلے کا نام دیا ہے۔ ایک ہیکر اس کا استعمال کسی Android فون پر صرف فون پر فون کرکے اور ایم ایم ایس (ملٹی میڈیا میسیج) میں خاص طور پر تعمیر شدہ MP4 میڈیا فائل بھیج کر ان تک رسائی حاصل کرسکتا ہے۔ ایم ایم ایس پیغامات پر عملدرآمد واٹس ایپ ، گوگل ہاؤسنگ ، یا عام اینڈرائیڈ میسنجر ایپ کے ذریعہ کیا جاتا ہے۔ استحصال میڈیا پلیئر میں خرابی پیدا کر کے کام کرتا ہے جسے ہیکر میموری تک رسائی حاصل کرنے کے لئے استعمال کرسکتا ہے۔ اس مسئلے سے اینڈرائڈ ورژن پر 2.2 اور 5.1 کے درمیان اثر پڑتا ہے۔ وہاں پیچ دستیاب ہیں۔ پلس صارفین ان ایپس میں ویڈیوز کو خود بخود ڈاؤن لوڈ کرنا بند کرسکتے ہیں۔ لیکن ابھی تک تمام لوڈ ، اتارنا Android آلات پیچ نہیں کر رہے ہیں حالانکہ یہ بگ کچھ مہینے پہلے سن 2015 میں دریافت ہوا تھا۔ اس کی وجہ یہ ہے کہ فون بنانے والے اور سیلولر کیریئرز کے ذریعہ مختلف شیڈول میں پیچ کو باہر نکال دیا جاتا ہے۔
مثال کے طور پر ، ہم نے Android ورژن 4.2.1 چلانے والے گٹھ جوڑ 4 اسمارٹ فون کا تجربہ کیا۔ وہ فون پیچ نہیں کیا گیا تھا۔ ہم نے اسٹیگریٹ ڈٹیکٹر ایپ کا استعمال کیا جو گوگل پلے پر دستیاب ہے یہاں ٹیسٹ کو چلانے کے لئے.
ایپ نے یہ نتیجہ دیا:
مذکورہ ایپ میں دکھائے گئے سی وی ای (عام کمزوریاں) نمبر غیر منفعتی فرم MITER کے ذریعہ تفویض کیے گئے ہیں جو حفاظتی محققین کے فراہم کردہ ڈیٹا کی بنیاد پر ان اشیاء کو ٹریک کرتے ہیں۔ مثال کے طور پر ایک اسٹیج رائٹ کمزوری دستاویزی ہے یہاں . کئی ہیں۔
سیکیورٹی محقق جوشوا ڈریک نے مسئلہ پایا اور اس کا حل لکھ دیا یہاں .
بوٹ ایبل یو ایس بی بنائیں
آپ مسئلے کا ویڈیو مظاہرہ دیکھ سکتے ہیں یہاں .
یہ معلوم نہیں ہے کہ کتنے لوگ اس خطرے سے دوچار ہوئے ہیں لیکن تمام بے ترتیب Android ڈیوائسز کو یہ مسئلہ درپیش ہے۔ چونکہ اینڈروئیڈ اوپن سورس کوڈ پروجیکٹ سائٹ پر خطرے کی دستاویزی دستاویز کی گئی ہے اس لئے ایک ہیکر یقینا ایک استحصال لکھ سکتا ہے۔ وہ لکھے ہوئے کوڈ کو بھی استعمال کرسکتے تھے مسٹر ڈریک خود.
اینڈروئیڈ بگ نے نمبر تفویض کیا ہے اینڈروئڈ - 20139950 .
Nexus 4 آلہ پر پیچ کرنے کی ذمہ داری جس کا ہم نے اوپر ذکر کیا ہے وہ گوگل کے ساتھ جھوٹ بولتا ہے کیونکہ Nexus آلہ گوگل کے لئے کسی اور کمپنی کے ذریعہ تیار کیا جاتا ہے۔ اگر یہ ہوتا تو ، مثال کے طور پر ، اگر ایک گیلیکس ہوتا تو سام سنگ اپنے اینڈرائڈ کے ورژن میں فکس مرتب کرنے کا ذمہ دار ہوتا۔ موبائل کیریئر پھر اس کو آگے بڑھا دے گا۔
استحصال کس طرح کام کرتا ہے؟
بگ اسٹیج رائٹ پلیئر کی میموری کو بہا کر کام کرتا ہے۔ ہم یہاں مختصر طور پر بیان کرتے ہیں کہ اس کا کیا مطلب ہے۔
اینڈروئیڈ آپریٹنگ سسٹم پر چلنے والے اینڈروئیڈ پروگرامنگ کی جاوا ورچوئل مشین کے باہر میموری تک رسائی نہیں ہے ، جسے ڈالوک کہتے ہیں۔ یہ ڈیزائن کے ذریعہ ہے۔ لیکن اسٹیج رائٹ C ++ میں بہت کم درجے کی زبان میں لکھا جاتا۔ اس پروگرامنگ زبان سے پروگرامر خود عام اینڈرائڈ ایپ کے برخلاف پروگرام کو میموری تفویض کرنے کا ذمہ دار ہوتا ہے۔
اسٹیج فراٹ کے معاملے میں ہیکر ایک میڈیا پیغام بھیجتا ہے جس کی وجہ سے بفر اوور فلو ہوجاتا ہے۔ اس کا مطلب یہ ہے کہ کسی ڈیٹا فیلڈ میں اس سے کہیں زیادہ ڈیٹا شامل کیا جاتا ہے جس میں اس طرح تیار کیا گیا ہے کہ اس طرح وہاں بھیجا گیا ڈیٹا بے ترتیب میموری میں پھیل جاتا ہے۔ ہیکر اس اعداد و شمار کے فیلڈ میں نہیں بلکہ ڈیٹا کو ہدایات دیتا تھا اور اس پر عمل درآمد کے لئے چلانے والے پروگرام کو ری ڈائریکٹ کرتا تھا۔ یہ ہدایات اسمبلی زبان کے کمانڈ ہیں جو C ++ سے بھی نچلی سطح کی زبان ہے۔ خاص طور پر ہیکر ان ہدایات پر عمل درآمد کرسکتا ہے جیسا کہ مسٹر ڈریک نے نیچے کوڈ کے اقتباس میں دکھایا ہے۔
یہ سب عام آدمی کے ل Chinese چینی کی طرح نظر آئے گا۔ بس اتنا جان لیں کہ ان ہدایات سے کھلاڑی کو کمانڈ لائن تک رسائی حاصل ہوتی ہے ، یعنی روٹ تک رسائی۔ اس کا مطلب ہے کہ ایک ہیکر کسی بھی Android سیکیورٹی کو نظرانداز کرسکتا ہے اور جو بھی میلویئر چاہیں انسٹال کرسکتا ہے۔
تو مسئلے کی جانچ کے لئے ایپ ڈاؤن لوڈ کریں اور پھر اپنے فون تیار کنندہ کے ذریعہ فراہم کردہ پیچ کو تلاش کریں۔ اور استحصال کو روکنے کے لئے اینٹی وائرس سافٹ ویئر انسٹال کریں۔
