!['போலி ஐடி' மற்றும் Android பாதுகாப்பு [புதுப்பிக்கப்பட்டது]](https://img.androidermagazine.com/img/software/771/fake-idand-android-security.jpg "'போலி ஐடி' மற்றும் Android பாதுகாப்பு [புதுப்பிக்கப்பட்டது]")
பொருளடக்கம்:
இன்று பாதுகாப்பு ஆராய்ச்சி நிறுவனமான புளூபாக்ஸ் - ஆண்ட்ராய்டு "மாஸ்டர் கீ" பாதிப்பு என்று அழைக்கப்படும் அதே நிறுவனம் - பயன்பாடுகளில் கையொப்பமிட பயன்படுத்தப்படும் அடையாள சான்றிதழ்களை அண்ட்ராய்டு கையாளும் விதத்தில் ஒரு பிழை கண்டுபிடிப்பை அறிவித்துள்ளது. புளூபாக்ஸ் "போலி ஐடி" என்று பெயரிடப்பட்ட பாதிப்பு, தீங்கிழைக்கும் பயன்பாடுகளை முறையான பயன்பாடுகளிலிருந்து சான்றிதழ்களுடன் இணைக்க அனுமதிக்கிறது, இதனால் அவர்கள் அணுக முடியாத விஷயங்களுக்கான அணுகலைப் பெறுகிறது.
இது போன்ற பாதுகாப்பு பாதிப்புகள் பயமுறுத்துகின்றன, மேலும் இந்த கதை உடைந்ததால் இன்று ஒன்று அல்லது இரண்டு ஹைபர்போலிக் தலைப்புச் செய்திகளை நாங்கள் ஏற்கனவே பார்த்தோம். ஆயினும்கூட, பயன்பாடுகளை அவர்கள் விரும்பாத விஷயங்களைச் செய்ய அனுமதிக்கும் எந்தப் பிழையும் கடுமையான சிக்கலாகும். எனவே சுருக்கமாக என்ன நடக்கிறது, ஆண்ட்ராய்டு பாதுகாப்பிற்கு என்ன அர்த்தம், அதைப் பற்றி கவலைப்பட வேண்டியதுதானா …
புதுப்பி: போலி ஐடி பிழையை நிவர்த்தி செய்வதற்காக பிளே ஸ்டோர் மற்றும் "பயன்பாடுகளை சரிபார்க்க" அம்சம் இரண்டுமே உண்மையில் புதுப்பிக்கப்பட்டுள்ளன என்பதற்கான கூகிளின் உறுதிப்பாட்டை பிரதிபலிக்கும் வகையில் இந்த கட்டுரையை நாங்கள் புதுப்பித்துள்ளோம். இதன் பொருள், செயலில் உள்ள Google Android சாதனங்களில் பெரும்பாலானவை ஏற்கனவே இந்த சிக்கலில் இருந்து சில பாதுகாப்பைக் கொண்டுள்ளன, பின்னர் கட்டுரையில் விவாதிக்கப்பட்டது. கூகிளின் அறிக்கையை இந்த இடுகையின் முடிவில் காணலாம்.
சிக்கல் - மோசமான சான்றிதழ்கள்
'போலி ஐடி' என்பது Android தொகுப்பு நிறுவியில் உள்ள பிழையிலிருந்து உருவாகிறது.
ப்ளூபாக்ஸின் கூற்றுப்படி, பாதிப்பு என்பது ஆண்ட்ராய்டு தொகுப்பு நிறுவியில் உள்ள சிக்கலிலிருந்து உருவாகிறது, இது பயன்பாடுகளின் நிறுவலைக் கையாளும் OS இன் பகுதியாகும். தொகுப்பு நிறுவி டிஜிட்டல் சான்றிதழ் "சங்கிலிகளின்" நம்பகத்தன்மையை சரியாக சரிபார்க்கவில்லை, இது ஒரு தீங்கிழைக்கும் சான்றிதழை நம்பகமான தரப்பினரால் வழங்கப்பட்டதாகக் கூற அனுமதிக்கிறது. இது ஒரு சிக்கல், ஏனென்றால் சில டிஜிட்டல் கையொப்பங்கள் சில சாதன செயல்பாடுகளுக்கு பயன்பாடுகளுக்கு சலுகை பெற்ற அணுகலை வழங்குகின்றன. Android 2.2-4.3 உடன், எடுத்துக்காட்டாக, அடோப்பின் கையொப்பத்தைக் கொண்ட பயன்பாடுகளுக்கு வெப்வியூ உள்ளடக்கத்திற்கு சிறப்பு அணுகல் வழங்கப்படுகிறது - தவறாகப் பயன்படுத்தினால் சிக்கல்களை ஏற்படுத்தக்கூடிய அடோப் ஃப்ளாஷ் ஆதரவின் தேவை. இதேபோல், NFC வழியாக பாதுகாப்பான கொடுப்பனவுகளுக்குப் பயன்படுத்தப்படும் வன்பொருளை அணுகுவதற்கான சலுகை பெற்ற பயன்பாட்டின் கையொப்பத்தை ஏமாற்றுவது தீங்கிழைக்கும் பயன்பாட்டை முக்கியமான நிதித் தகவலைத் தடுக்க அனுமதிக்கும்.
மிகவும் கவலையாக, 3LM போன்ற சில தொலைநிலை சாதன மேலாண்மை மென்பொருளைப் போல ஆள்மாறாட்டம் செய்ய தீங்கிழைக்கும் சான்றிதழ் பயன்படுத்தப்படலாம், இது சில உற்பத்தியாளர்களால் பயன்படுத்தப்படுகிறது மற்றும் ஒரு சாதனத்தின் மீது விரிவான கட்டுப்பாட்டை வழங்குகிறது.
ப்ளூபாக்ஸ் ஆராய்ச்சியாளர் ஜெஃப் ஃபோரிஸ்டால் எழுதுவது போல்:
"அண்ட்ராய்டு பாதுகாப்பு மாதிரியில் பயன்பாட்டு கையொப்பங்கள் முக்கிய பங்கு வகிக்கின்றன. பயன்பாட்டின் கையொப்பம் யார் பயன்பாட்டைப் புதுப்பிக்க முடியும், எந்தெந்த பயன்பாடுகள் அதன் தரவைப் பகிரலாம் போன்றவற்றை நிறுவுகிறது. சில அனுமதிகள், செயல்பாட்டுக்கான நுழைவாயிலைப் பயன்படுத்தப் பயன்படுகின்றன, அவை பயன்பாடுகளால் மட்டுமே பயன்படுத்தப்படுகின்றன அனுமதி உருவாக்கியவரின் அதே கையொப்பம். இன்னும் சுவாரஸ்யமாக, மிகவும் குறிப்பிட்ட கையொப்பங்களுக்கு சில சந்தர்ப்பங்களில் சிறப்பு சலுகைகள் வழங்கப்படுகின்றன."
அடோப் / வெப்வியூ சிக்கல் ஆண்ட்ராய்டு 4.4 ஐ பாதிக்காது என்றாலும் (வெப்வியூ இப்போது குரோமியத்தை அடிப்படையாகக் கொண்டது, அதே அடோப் கொக்கிகள் இல்லை), அடிப்படை தொகுப்பு நிறுவி பிழை தொடர்ந்து கிட்காட்டின் சில பதிப்புகளை பாதிக்கிறது. அண்ட்ராய்டு சென்ட்ரல் கூகிள் நிறுவனத்திற்கு அளித்த அறிக்கையில், "இந்த பாதிப்புக்குள்ளான வார்த்தையைப் பெற்ற பிறகு, ஆண்ட்ராய்டு கூட்டாளர்களுக்கும், அண்ட்ராய்டு ஓப்பன் சோர்ஸ் திட்டத்திற்கும் விநியோகிக்கப்பட்ட ஒரு பேட்சை விரைவாக வெளியிட்டோம்."
'போலி ஐடி' காடுகளில் சுரண்டப்படுவதற்கு எந்த ஆதாரமும் இல்லை என்று கூகிள் கூறுகிறது.
ஏப்ரல் மாதத்தில் கூகிளுக்கு தகவல் கொடுத்ததாக புளூபாக்ஸ் கூறியுள்ளதால், ஆண்ட்ராய்டு 4.4.3 இல் ஏதேனும் ஒரு பிழைத்திருத்தம் சேர்க்கப்பட்டிருக்கலாம், மேலும் OEM களில் இருந்து சில 4.4.2 அடிப்படையிலான பாதுகாப்பு இணைப்புகள் இருக்கலாம். (இந்த குறியீட்டைக் காண்க - நன்றி அனந்த் ஸ்ரீவாஸ்தவா.) புளூபாக்ஸின் சொந்த பயன்பாட்டின் ஆரம்ப சோதனை ஐரோப்பிய எல்ஜி ஜி 3, சாம்சங் கேலக்ஸி எஸ் 5 மற்றும் எச்.டி.சி ஒன் எம் 8 ஆகியவை போலி ஐடியால் பாதிக்கப்படவில்லை என்பதைக் காட்டுகிறது. பிற சாதனங்கள் புதுப்பிக்கப்பட்டன என்பதைக் கண்டறிய முக்கிய Android OEM களை அணுகியுள்ளோம்.
போலி ஐடி வல்னின் பிரத்தியேகங்களைப் பொறுத்தவரை, ஆகஸ்ட் 2 ஆம் தேதி லாஸ் வேகாஸில் நடந்த பிளாக் ஹாட் மாநாட்டில் தான் அதிகம் வெளிப்படுத்துவதாக ஃபோரிஸ்டல் கூறுகிறார். கூகிள் தனது அறிக்கையில், தனது பிளே ஸ்டோரில் உள்ள அனைத்து பயன்பாடுகளையும் ஸ்கேன் செய்ததாகவும், சில ஹோஸ்ட் செய்ததாகவும் கூறியது பிற பயன்பாட்டுக் கடைகளில், மற்றும் உண்மையான உலகில் சுரண்டல் பயன்படுத்தப்படுவதற்கான எந்த ஆதாரமும் கிடைக்கவில்லை.
தீர்வு - Google Play உடன் Android பிழைகளை சரிசெய்தல்
ப்ளே சர்வீசஸ் மூலம், செயலில் உள்ள ஆண்ட்ராய்டு சுற்றுச்சூழல் அமைப்பில் கூகிள் இந்த பிழையை திறம்பட நிர்வகிக்க முடியும்.
போலி ஐடி என்பது ஒரு தீவிர பாதுகாப்பு பாதிப்பாகும், இது சரியாக இலக்கு வைக்கப்பட்டால் தாக்குபவர் கடுமையான சேதத்தை செய்ய அனுமதிக்கும். அடிப்படை பிழை சமீபத்தில் AOSP இல் உரையாற்றப்பட்டதால், பெரும்பான்மையான ஆண்ட்ராய்டு தொலைபேசிகள் தாக்குவதற்குத் திறந்திருப்பதாகத் தோன்றலாம், மேலும் இது எதிர்காலத்தில் இருக்கும். நாங்கள் முன்பே விவாதித்தபடி, பில்லியன் அல்லது அதற்கு மேற்பட்ட செயலில் உள்ள ஆண்ட்ராய்டு தொலைபேசிகளைப் புதுப்பிப்பதற்கான பணி மிகப்பெரிய சவாலாகும், மேலும் "துண்டு துண்டாக" என்பது ஆண்ட்ராய்டின் டி.என்.ஏவில் கட்டமைக்கப்பட்ட ஒரு சிக்கலாகும். இது போன்ற பாதுகாப்பு சிக்கல்களைக் கையாளும் போது கூகிள் விளையாட ஒரு துருப்புச் சீட்டு உள்ளது - கூகிள் பிளே சேவைகள்.
ஃபார்ம்வேர் புதுப்பிப்பு தேவையில்லாமல் பிளே சர்வீசஸ் புதிய அம்சங்களையும் ஏபிஐகளையும் சேர்ப்பது போல, பாதுகாப்பு துளைகளை செருகவும் இதைப் பயன்படுத்தலாம். தீங்கிழைக்கும் உள்ளடக்கத்திற்கான எந்தவொரு பயன்பாடுகளையும் நிறுவும் முன் ஸ்கேன் செய்வதற்கான ஒரு வழியாக கூகிள் "சேவைகளை சரிபார்க்க" அம்சத்தை சில காலங்களுக்கு முன்பு கூகிள் பிளே சேவைகளில் சேர்த்தது. மேலும் என்னவென்றால், இது இயல்பாகவே இயக்கப்பட்டது. Android 4.2 மற்றும் அதற்கு மேல் இது அமைப்புகள்> பாதுகாப்பு; பழைய பதிப்புகளில் இதை Google அமைப்புகள்> சரிபார்ப்பு பயன்பாடுகளின் கீழ் காணலாம். கூகிள் ஐ / ஓ 2014 இல் சுந்தர் பிச்சாய் கூறியது போல், செயலில் உள்ள பயனர்களில் 93 சதவீதம் பேர் கூகிள் பிளே சேவைகளின் சமீபத்திய பதிப்பில் உள்ளனர். அண்ட்ராய்டு 4.0.4 ஐஸ்கிரீம் சாண்ட்விச் இயங்கும் எங்கள் பண்டைய எல்ஜி ஆப்டிமஸ் வு கூட, தீம்பொருளுக்கு எதிராக பாதுகாப்பாக இருக்க, பிளே சர்வீசஸிலிருந்து "பயன்பாடுகளை சரிபார்க்க" விருப்பத்தைக் கொண்டுள்ளது.
இந்த சிக்கலில் இருந்து பயனர்களைப் பாதுகாக்க "பயன்பாடுகளைச் சரிபார்க்கவும்" அம்சமும் கூகிள் பிளேவும் புதுப்பிக்கப்பட்டுள்ளதாக கூகிள் ஆண்ட்ராய்டு சென்ட்ரலுக்கு உறுதிப்படுத்தியுள்ளது. உண்மையில், இது போன்ற பயன்பாட்டு-நிலை பாதுகாப்பு பிழைகள் "பயன்பாடுகளை சரிபார்க்க" அம்சத்தை சமாளிக்க வடிவமைக்கப்பட்டுள்ளன. கூகிள் பிளே சேவைகளின் புதுப்பித்த பதிப்பை இயக்கும் எந்தவொரு சாதனத்திலும் போலி ஐடியின் தாக்கத்தை இது கணிசமாகக் கட்டுப்படுத்துகிறது - எல்லா ஆண்ட்ராய்டு சாதனங்களும் பாதிக்கப்படக்கூடியவையாக இருப்பதற்கு மாறாக, பிளே சர்வீசஸ் வழியாக போலி ஐடியை நிவர்த்தி செய்வதற்கான கூகிளின் நடவடிக்கை பிரச்சினை பொதுவதற்கு முன்பே அதை திறம்பட நடுநிலையாக்கியது அறிவு.
பிழை பற்றிய தகவல்கள் பிளாக் ஹாட்டில் கிடைக்கும்போது மேலும் கண்டுபிடிப்போம். கூகிளின் பயன்பாட்டு சரிபார்ப்பு மற்றும் பிளே ஸ்டோர் போலி ஐடியைப் பயன்படுத்தி பயன்பாடுகளைப் பிடிக்க முடியும் என்பதால், "ஜனவரி 2010 முதல் அனைத்து ஆண்ட்ராய்டு பயனர்களும்" ஆபத்தில் உள்ளனர் என்ற புளூபாக்ஸின் கூற்று மிகைப்படுத்தப்பட்டதாகத் தெரிகிறது. (ஒப்புக்கொண்டாலும், கூகிள் அங்கீகரிக்கப்படாத Android பதிப்பைக் கொண்டு சாதனத்தை இயக்கும் பயனர்கள் ஒரு ஒட்டும் சூழ்நிலையில் விடப்படுகிறார்கள்.)
கேட் கீப்பராக ப்ளே சேவைகளை அனுமதிப்பது ஒரு நிறுத்துமிட தீர்வாகும், ஆனால் இது மிகவும் பயனுள்ள ஒன்றாகும்.
பொருட்படுத்தாமல், ஏப்ரல் முதல் கூகிள் போலி ஐடியை அறிந்திருப்பதால், சுரண்டலைப் பயன்படுத்தும் எந்தவொரு பயன்பாடும் எதிர்காலத்தில் அதை பிளே ஸ்டோரில் உருவாக்கும் என்பது மிகவும் சாத்தியமில்லை. பெரும்பாலான Android பாதுகாப்பு சிக்கல்களைப் போலவே, போலி ஐடியைக் கையாள்வதற்கான எளிதான மற்றும் மிகச் சிறந்த வழி, உங்கள் பயன்பாடுகளை எங்கிருந்து பெறுகிறீர்கள் என்பது குறித்து புத்திசாலித்தனமாக இருக்க வேண்டும்.
நிச்சயமாக, ஒரு பாதிப்பை சுரண்டப்படுவதிலிருந்து நிறுத்துவது அதை முற்றிலுமாக அகற்றுவதற்கு சமம் அல்ல. ஒரு சிறந்த உலகில், கூகிள் ஒவ்வொரு ஆண்ட்ராய்டு சாதனத்திற்கும் மேலதிகமாக புதுப்பிப்பைத் தரவும், ஆப்பிள் செய்வது போலவே சிக்கலை எப்போதும் அகற்றவும் முடியும். பிளே சர்வீசஸ் மற்றும் ப்ளே ஸ்டோர் கேட் கீப்பர்களாக செயல்பட அனுமதிப்பது ஒரு நிறுத்துமிட தீர்வாகும், ஆனால் ஆண்ட்ராய்டு சுற்றுச்சூழல் அமைப்பின் அளவு மற்றும் பரந்த தன்மையைக் கருத்தில் கொண்டு, இது மிகவும் பயனுள்ள ஒன்றாகும்.
இது போன்ற சிக்கல்கள் முன்னிலைப்படுத்தப்படுவதால், பல உற்பத்தியாளர்கள் சாதனங்களுக்கு முக்கியமான பாதுகாப்பு புதுப்பிப்புகளை வெளியேற்றுவதற்கு அதிக நேரம் எடுத்துக்கொள்வது சரியில்லை. ஆனால் இது ஒன்றும் இல்லை.
பாதுகாப்பு சிக்கல்களைப் பற்றி எச்சரிக்கையாக இருப்பது முக்கியம், குறிப்பாக நீங்கள் தொழில்நுட்ப ஆர்வலரான Android பயனராக இருந்தால் - வழக்கமான நபர்கள் தங்கள் தொலைபேசியில் ஏதேனும் தவறு நேர்ந்தால் உதவிக்குத் திரும்புவார்கள். ஆனால் விஷயங்களை முன்னோக்குடன் வைத்திருப்பது நல்ல யோசனையாகும், மேலும் இது முக்கியமான பாதிப்பு மட்டுமல்ல, தாக்குதல் திசையன் என்பதையும் நினைவில் கொள்ளுங்கள். கூகிள் கட்டுப்பாட்டில் உள்ள சுற்றுச்சூழல் அமைப்பைப் பொறுத்தவரை, பிளே ஸ்டோர் மற்றும் ப்ளே சர்வீசஸ் ஆகியவை தீம்பொருளைக் கையாளக்கூடிய இரண்டு சக்திவாய்ந்த கருவிகள்.
எனவே பாதுகாப்பாக இருங்கள் மற்றும் புத்திசாலித்தனமாக இருங்கள். முக்கிய Android OEM களில் இருந்து போலி ஐடி குறித்த கூடுதல் தகவலுடன் நாங்கள் உங்களை இடுகையிடுவோம்.
புதுப்பிப்பு: கூகிள் செய்தித் தொடர்பாளர் ஆண்ட்ராய்டு சென்ட்ரலுக்கு பின்வரும் அறிக்கையை வழங்கியுள்ளார்:
"புளூபாக்ஸ் இந்த பாதிப்பை எங்களுக்கு பொறுப்புடன் புகாரளிப்பதை நாங்கள் பாராட்டுகிறோம்; அண்ட்ராய்டு பயனர்களுக்கு வலுவாக மாற்றப்பட்ட வழிகளில் மூன்றாம் தரப்பு ஆராய்ச்சி ஒன்றாகும். இந்த பாதிப்பைப் பற்றிப் பெற்ற பிறகு, ஆண்ட்ராய்டு கூட்டாளர்களுக்கும், ஏஓஎஸ்பிக்கும் விநியோகிக்கப்பட்ட ஒரு பேட்சை விரைவாக வெளியிட்டோம். இந்த சிக்கலில் இருந்து பயனர்களைப் பாதுகாக்க கூகிள் பிளே மற்றும் சரிபார்ப்பு பயன்பாடுகளும் மேம்படுத்தப்பட்டுள்ளன. இந்த நேரத்தில், கூகிள் பிளேயில் சமர்ப்பிக்கப்பட்ட அனைத்து பயன்பாடுகளையும் ஸ்கேன் செய்துள்ளோம், அதேபோல் கூகிள் கூகிள் பிளேவுக்கு வெளியே இருந்து மதிப்பாய்வு செய்துள்ளோம், மேலும் முயற்சித்ததற்கான எந்த ஆதாரத்தையும் நாங்கள் காணவில்லை இந்த பாதிப்பை சுரண்டுவது."
சோனி தனது சாதனங்களுக்கு போலி ஐடி பிழைத்திருத்தத்தை வெளியேற்றுவதில் செயல்படுவதாகவும் எங்களிடம் கூறியுள்ளது.
