એન્ડ્રોઇડ સર્ટિફિકેટ લીક થયાનો ગૂગલ એન્જીનીયરનો દાવો: માલવેર હુમલાનું જોખમ !!
ગયા અઠવાડિયે ગૂગલની પ્રોજેક્ટ ઝીરો સિક્યુરિટી ટીમે તાજેતરમાં ઘણી બ્રાન્ડ્સના સ્માર્ટફોન્સમાં ગંભીર નબળાઈની જાણ કરી છે જે લાખો વપરાશકર્તાઓ માટે અનપેચ્ડ છે. અન્ય ગૂગલ કર્મચારીએ એન્ડ્રોઇડ સંબંધિત સુરક્ષા ખામી શોધી કાઢી છે જે ઉપકરણોને અસર કરી શકે છે. લુકાઝ સિવિયરસ્કી કે જેઓ ગૂગલમાં એન્જિનિયર છે એવો દાવો કરે છે કે, એક એન્ડ્રોઇડ
કથિત રીતે પ્રમાણપત્ર ઓનલાઈન લીક થયું છે. લીક થયેલા એન્ડ્રોઇડ સર્ટિફિકેટે લાખો ઉપકરણોને માલવેર હુમલાના જોખમમાં મૂક્યા છે. જો કે આ લીક મીડિયાટેક ચિપસેટ્સ દ્વારા સંચાલિત ફોન સાથેના કેટલાક સેમસંગ અને એલજી ઉપકરણો સિવાય તમામ એન્ડ્રોઇડ વપરાશકર્તાઓને અસર કરતું નથી.
સિવિયરસ્કીએ અહેવાલ આપ્યો છે કે, વિવિધ એન્ડ્રોઇડ ઓઈએમના પ્રમાણપત્રો સાર્વજનિક રૂપે પોસ્ટ કરવામાં આવ્યા હતા અને આ કીનો હેકર્સ સ્માર્ટફોન પર માલવેર ઇન્સ્ટોલ કરવા માટે ઉપયોગ કરી શકે છે. લીક થયેલી સાઇન-ઇન કીમાં નોંધપાત્ર ઓએસ અધિકારો છે અને હુમલાખોરો ગૂગલ ઉપકરણના નિર્માતા અથવા એપ્લિકેશન ડેવલપરને તેની જાણ થયા વિના માલવેર દાખલ કરવા માટે તેનો ઉપયોગ કરી શકે છે.
આનો અર્થ એ છે કે, જો વપરાશકર્તાઓ તૃતીય-પક્ષ વેબસાઇટ પરથી એપ્લિકેશન અપડેટ્સ ઇન્સ્ટોલ કરે છે, તો હેકર્સ કાયદેસર અપડેટ તરીકે માલવેર અને માસ્કરેડ ઇન્જેક્ટ કરી શકે છે. હુમલાખોરો માલવેર હુમલો શરૂ કરવા માટે આ એપ્લિકેશન સાઇનિંગ પ્રક્રિયાનો ઉપયોગ કરી શકે છે અને વપરાશકર્તાના ડેટાની ચોરી કરવા માટે સિસ્ટમ પરવાનગીઓ ઍક્સેસ કરી શકે છે.
એન્ડ્રોઇડ ઉપકરણોને સુરક્ષિત કરતા મહત્વપૂર્ણ ઘટકોમાંના એકમાં આ એપ્લિકેશન સાઇનિંગ પ્રોગ્રામનો સમાવેશ થાય છે. આ પ્રક્રિયા સુનિશ્ચિત કરે છે કે સ્માર્ટફોનને માત્ર પ્રતિષ્ઠિત વિકાસકર્તાઓ પાસેથી જ સોફ્ટવેર અપગ્રેડ મળે છે. તે સુનિશ્ચિત કરવા માટે વિકાસકર્તાઓ પાસે અનન્ય સાઇન-ઇન કી છે જે સુરક્ષાના વધારાના સ્તરને ઉમેરવા માટે હંમેશા ખાનગી રાખવામાં આવે છે.એન્ડ્રોઇડ સુરક્ષા ટીમ પહેલાથી જ અસરગ્રસ્ત વ્યવસાયોને સમસ્યા વિશે ચેતવણી આપી છે. ગુગલએ પણ સૂચવ્યું છે કે, અસરગ્રસ્ત કંપનીઓએ પ્લેટફોર્મ પ્રમાણપત્રને સાર્વજનિક અને ખાનગી કીના નવા સેટ સાથે બદલવું જોઈએ.”
