लोकप्रिय Google Play Store पर Grindr, OkCupid, Cisco Teams और आधिकारिक Google Play स्टोर पर अधिक लोकप्रिय एप्लिकेशन CVE-2020-8913 के लिए जारी हैं, और निष्कर्ष निकाला है कि सैकड़ों लाखों Android उपयोगकर्ता अभी भी एक महत्वपूर्ण सुरक्षा जोखिम, सुरक्षा पर हैं चेक प्वाइंट रिसर्च के शोधकर्ताओं ने मंगलवार को खुलासा किया।
शुरुआत में अगस्त के अंत में शोधकर्ताओं द्वारा Oversecured में रिपोर्ट की गई, भेद्यता एक खतरनाक अभिनेता को कमजोर अनुप्रयोगों में दुर्भावनापूर्ण कोड को इंजेक्ट करने की अनुमति देती है, होस्टिंग एप्लिकेशन के सभी समान संसाधनों तक पहुंच प्रदान करती है। ऐसा दुर्भावनापूर्ण ऐप उसी डिवाइस पर अन्य ऐप से संवेदनशील डेटा को निकाल सकता है।
शोधकर्ताओं ने भेद्यता CVE-2020-8913 के अस्तित्व की पुष्टि करने के लिए कई हाई-प्रोफाइल ऐप्स का चयन किया और लोकप्रिय ऐप्स में बग की पुष्टि की गई, जिनमें ग्रिंडर, बम्बल, ओकेक्यूपिड, सिस्को टीम्स, यांगो प्रो, एज, एक्सरेकॉर्ड, पॉवरडायरेक्टर शामिल हैं। अन्य।
“हम अनुमान लगा रहे हैं कि करोड़ों Android उपयोगकर्ता सुरक्षा जोखिम में हैं। हालाँकि Google ने एक पैच लागू किया है, कई ऐप अभी भी पुराने प्ले कोर लाइब्रेरी का उपयोग कर रहे हैं। भेद्यता CVE-2020-8913 अत्यधिक खतरनाक है। यदि कोई दुर्भावनापूर्ण एप्लिकेशन इस भेद्यता का फायदा उठाता है, तो यह लोकप्रिय अनुप्रयोगों के अंदर कोड निष्पादन प्राप्त कर सकता है, असुरक्षित एप्लिकेशन के समान पहुंच प्राप्त करता है, “मोबाइल रिसर्च, चेक प्वाइंट के प्रबंधक अविरन हज़ूम ने एक बयान में कहा।
“उदाहरण के लिए, भेद्यता एक खतरा अभिनेता को दो-कारक प्रमाणीकरण कोड चोरी करने या क्रेडेंशियल प्राप्त करने के लिए बैंकिंग अनुप्रयोगों में कोड इंजेक्ट करने की अनुमति दे सकती है। या, एक खतरा अभिनेता सोशल मीडिया अनुप्रयोगों में कोड को पीड़ितों की जासूसी करने या सभी आईएम में कोड इंजेक्ट करने की अनुमति दे सकता है। सभी संदेशों को हथियाने के लिए ऐप। यहां हमले की संभावनाएं केवल एक खतरे वाले अभिनेता की कल्पना तक सीमित हैं। “
यह दोष Google की व्यापक रूप से उपयोग की जाने वाली Play Core लाइब्रेरी में निहित है, जो डेवलपर्स को इन-ऐप अपडेट और नए फ़ीचर मॉड्यूल को अपने एंड्रॉइड ऐप पर पुश करने की सुविधा देता है। भेद्यता पुस्तकालय का उपयोग करने वाले किसी भी एप्लिकेशन के लिए निष्पादन योग्य मॉड्यूल को जोड़ना संभव बनाती है, जिसका अर्थ है कि मनमाना कोड उनके भीतर निष्पादित किया जा सकता है। एक हमलावर जिसके पास पीड़ित के डिवाइस पर एक मैलवेयर ऐप है, वह उपयोगकर्ताओं की निजी जानकारी, जैसे लॉगिन विवरण, पासवर्ड, वित्तीय विवरण चोरी कर सकता है और उनका मेल पढ़ सकता है।
More Stories
बागेश्वर धाम का बुखार दुबई में छाया: बू अब्दुल्ला कार्यक्रम में धीरेंद्र शास्त्री की कथा ने भीड़ को मंत्रमुग्ध कर दिया
चेतावनी! सरकार ने Google Chrome और Apple iTunes के लिए उच्च जोखिम चेतावनी जारी की: यहां बताया गया है कि कैसे सुरक्षित रहें
एलोन मस्क ने इस कारण से 26 मार्च से 25 अप्रैल के बीच भारत में एक्स पर 1.8 लाख से अधिक खातों पर प्रतिबंध लगा दिया; विवरण यहाँ | प्रौद्योगिकी समाचार