Google उपयोगकर्ताओं को लोकप्रिय एंड्रॉइड फोन में दूरस्थ रूप से शोषण योग्य खामियों से बचाने के लिए कार्रवाई करने की चेतावनी देता है

Google की सुरक्षा अनुसंधान इकाई दर्जनों एंड्रॉइड मॉडल, पहनने योग्य और वाहनों में शामिल कुछ सैमसंग चिप्स में पाई गई कमजोरियों के एक सेट पर अलार्म बजा रही है, इस डर से कि जल्द ही खामियों की खोज की जा सकती है और उनका शोषण किया जा सकता है।

में एक ब्लॉग भेजाGoogle के प्रोजेक्ट ज़ीरो हेड टिम विलिस ने कहा कि इन-हाउस सुरक्षा शोधकर्ताओं ने पिछले कुछ महीनों में सैमसंग द्वारा निर्मित Exynos मॉडेम में 18 ज़ीरो-डे भेद्यताएँ पाईं और रिपोर्ट कीं, जिनमें चार शीर्ष-गंभीरताएँ शामिल हैं जो प्रभावित उपकरणों को “चुपचाप और दूर” से समझौता कर सकती हैं। सेलुलर नेटवर्क पर।

विलिस ने कहा, “प्रोजेक्ट ज़ीरो द्वारा किए गए परीक्षण इस बात की पुष्टि करते हैं कि ये चार भेद्यताएं एक हमलावर को बेसबैंड स्तर पर बिना किसी उपयोगकर्ता के संपर्क के दूर से एक फोन से समझौता करने की अनुमति देती हैं, और केवल हमलावर को पीड़ित का फोन नंबर जानने की आवश्यकता होती है।”

डिवाइस के बेसबैंड स्तर पर दूरस्थ रूप से कोड चलाने की क्षमता प्राप्त करके – अनिवार्य रूप से Exynos मोडेम जो सेल सिग्नल को डिजिटल डेटा में परिवर्तित करते हैं – एक हमलावर एक प्रभावित डिवाइस के अंदर और बाहर बहने वाले डेटा तक लगभग-अनफ़िटर्ड एक्सेस प्राप्त करने में सक्षम होगा, जिसमें शामिल हैं पीड़ित को सचेत किए बिना सेलुलर कॉल, टेक्स्ट संदेश और सेल डेटा।

जैसे-जैसे खुलासे होते हैं, Google – या किसी भी सुरक्षा अनुसंधान फर्म – को पैच किए जाने से पहले उच्च-गंभीरता वाली कमजोरियों पर अलार्म बजाते देखना दुर्लभ है। Google ने जनता के लिए जोखिम पर ध्यान दिया, यह बताते हुए कि सीमित शोध और प्रयास के साथ कुशल हमलावर “जल्दी से एक परिचालन शोषण बनाने में सक्षम होंगे”।

प्रोजेक्ट जीरो शोधकर्ता मैडी स्टोन ट्विटर पर लिखा सैमसंग के पास बग को ठीक करने के लिए 90 दिन थे, लेकिन अभी तक नहीं।

सैमसंग ने एक में पुष्टि की मार्च 2023 सुरक्षा लिस्टिंग कई Exynos मोडेम असुरक्षित हैं, जो कई Android डिवाइस निर्माताओं को प्रभावित करते हैं, लेकिन कुछ अन्य विवरण प्रदान करते हैं।

प्रोजेक्ट जीरो के अनुसार, प्रभावित उपकरणों में लगभग एक दर्जन सैमसंग मॉडल, वीवो डिवाइस और Google के अपने Pixel 6 और Pixel 7 हैंडसेट शामिल हैं। प्रभावित उपकरणों में पहनने योग्य और वाहन भी शामिल हैं जो सेलुलर नेटवर्क से जुड़ने के लिए Exynos चिप्स पर निर्भर हैं।

Google ने कहा कि निर्माता के आधार पर पैच अलग-अलग होंगे, लेकिन ध्यान दिया कि इसके पिक्सेल डिवाइस पहले से ही इसके साथ पैच किए गए हैं मार्च सुरक्षा अद्यतन.

जब तक प्रभावित निर्माता अपने ग्राहकों को सॉफ़्टवेयर अपडेट नहीं भेजते, तब तक Google ने कहा कि जो उपयोगकर्ता स्वयं को सुरक्षित रखना चाहते हैं, वे अपनी डिवाइस सेटिंग में वाई-फाई कॉलिंग और वॉइस-ओवर-एलटीई (VoLTE) को बंद कर सकते हैं, जो “इन कमजोरियों के शोषण के जोखिम को दूर करेगा।” ”

Google ने कहा कि शेष 14 कमजोरियां कम गंभीर थीं क्योंकि उन्हें या तो किसी डिवाइस तक पहुंच की आवश्यकता थी, या सेल वाहक के सिस्टम में अंदरूनी या विशेषाधिकार प्राप्त पहुंच थी।