Android 'stagefright' சுரண்டல்: நீங்கள் தெரிந்து கொள்ள வேண்டியது

ஆண்ட்ராய்டு இயக்க முறைமைக்குள் பாதிக்கப்படக்கூடிய "யூனிகார்ன்" ஒன்றைக் கண்டுபிடித்ததாக பாதுகாப்பு நிறுவனமான ஜிம்பீரியம் ஜூலை 2015 இல் அறிவித்தது. ஆகஸ்ட் மாத தொடக்கத்தில் நடந்த பிளாக்ஹாட் மாநாட்டில் கூடுதல் விவரங்கள் பகிரங்கமாக வெளியிடப்பட்டன - ஆனால் கிட்டத்தட்ட ஒரு பில்லியன் ஆண்ட்ராய்டு சாதனங்கள் தங்கள் பயனர்களுக்குத் தெரியாமல் கையகப்படுத்தப்படலாம் என்று அறிவிக்கும் தலைப்புச் செய்திகளுக்கு முன்பு அல்ல.

எனவே "ஸ்டேஜ்ஃப்ரைட்" என்றால் என்ன? நீங்கள் அதைப் பற்றி கவலைப்பட வேண்டுமா?

மேலும் தகவல்கள் வெளியிடப்படுவதால் இந்த இடுகையை நாங்கள் தொடர்ந்து புதுப்பித்து வருகிறோம். இங்கே எங்களுக்குத் தெரிந்தவை, நீங்கள் தெரிந்து கொள்ள வேண்டியவை.

ஸ்டேஜ்ஃப்ரைட் என்றால் என்ன?

"ஸ்டேஜ்ஃப்ரைட்" என்பது ஆண்ட்ராய்டு இயக்க முறைமையில் மிகவும் ஆழமாக வாழக்கூடிய சாத்தியமான சுரண்டலுக்கு வழங்கப்பட்ட புனைப்பெயர். சாராம்சம் என்னவென்றால், எம்.எம்.எஸ் (உரைச் செய்தி) வழியாக அனுப்பப்படும் வீடியோவை கோட்பாட்டளவில் லிப்ஸ்டேஜ்ஃப்ரைட் பொறிமுறையின் மூலம் (இதனால் "ஸ்டேஜ்ஃப்ரைட்" பெயர்) தாக்குதலுக்கான ஒரு வழியாகப் பயன்படுத்தலாம், இது ஆண்ட்ராய்டு வீடியோ கோப்புகளை செயலாக்க உதவுகிறது. பல உரை செய்தி பயன்பாடுகள் - கூகிளின் Hangouts பயன்பாடு குறிப்பாக குறிப்பிடப்பட்டுள்ளது - தானாகவே அந்த வீடியோவை செயலாக்குகிறது, எனவே நீங்கள் செய்தியைத் திறந்தவுடன் அதைப் பார்க்கத் தயாராக உள்ளது, எனவே நீங்கள் அறியாமலேயே தாக்குதல் கோட்பாட்டளவில் நிகழக்கூடும்.

லிப்ஸ்டேஜ்ஃப்ரைட் ஆண்ட்ராய்டு 2.2 க்கு முந்தையது என்பதால், நூற்றுக்கணக்கான மில்லியன் தொலைபேசிகளில் இந்த குறைபாடுள்ள நூலகம் உள்ளது.

ஆக., 17-18: சுரண்டல்கள் எஞ்சியுள்ளனவா?

கூகிள் தனது நெக்ஸஸ் வரிக்கான புதுப்பிப்புகளை வெளியிடத் தொடங்கியதைப் போலவே, எக்ஸோடஸ் நிறுவனம் ஒரு வலைப்பதிவு இடுகையை ஸ்னர்கி யாக வெளியிட்டது, குறைந்தது ஒரு சுரண்டலையாவது தடையின்றி உள்ளது, இது கூகிள் குறியீட்டைக் கொண்டு திருகியது என்பதைக் குறிக்கிறது. இங்கிலாந்து வெளியீடு தி ரிஜிஸ்டர், ஒரு துல்லியமாக எழுதப்பட்ட ஒரு பகுதியில், ராபிட் 7 இன் ஒரு பொறியியலாளரை மேற்கோள் காட்டி, அடுத்த திருத்தம் செப்டம்பர் மாத பாதுகாப்பு புதுப்பிப்பில் வரும் - புதிய மாதாந்திர பாதுகாப்பு ஒட்டுதல் செயல்முறையின் ஒரு பகுதி.

கூகிள், அதன் பங்கிற்கு, இந்த சமீபத்திய கூற்றை இன்னும் பகிரங்கமாக தீர்க்கவில்லை.

இதற்கான மேலதிக விவரங்கள் ஏதும் இல்லாத நிலையில், நாங்கள் தொடங்கிய இடத்திற்கு நாங்கள் திரும்பி வந்துள்ளோம் - லிப்ஸ்டேஜ்ஃபைட்டில் குறைபாடுகள் உள்ளன, ஆனால் சாதனங்களின் சாத்தியத்தைத் தணிக்கும் பாதுகாப்பு மற்ற அடுக்குகள் உள்ளன உண்மையில் சுரண்டப்படுகிறது.

ஒரு ஆக. 18. ட்ரெண்ட் மைக்ரோ ஒரு வலைப்பதிவு இடுகையை libStageFright இல் மற்றொரு குறைபாட்டில் வெளியிட்டது. இந்த சுரண்டல் உண்மையில் பயன்படுத்தப்பட்டதற்கான எந்த ஆதாரமும் இல்லை என்றும், கூகிள் ஆண்ட்ராய்டு ஓப்பன் சோர்ஸ் திட்டத்திற்கு ஆகஸ்ட் 1 அன்று பேட்சை வெளியிட்டது என்றும் அது கூறியது.

ஆகஸ்ட் 5 ஆம் தேதி வரை புதிய ஸ்டேஜ்ஃப்ரைட் விவரங்கள்

லாஸ் வேகாஸில் நடந்த பிளாக்ஹாட் மாநாட்டோடு இணைந்து - ஸ்டேஜ்ஃபிரைட் பாதிப்பு பற்றிய கூடுதல் விவரங்கள் பகிரங்கமாக வெளியிடப்பட்டன - கூகிள் இந்த சூழ்நிலையை குறிப்பாக நிவர்த்தி செய்தது, அண்ட்ராய்டு பாதுகாப்புக்கான முன்னணி பொறியாளர் அட்ரியன் லுட்விக் என்பிஆரிடம் "தற்போது, ​​90 சதவீத ஆண்ட்ராய்டு சாதனங்களில் தொழில்நுட்பம் உள்ளது ASLR இயக்கப்பட்டது என அழைக்கப்படுகிறது, இது பயனர்களை சிக்கலில் இருந்து பாதுகாக்கிறது."

நாம் அனைவரும் படித்த "900 மில்லியன் ஆண்ட்ராய்டு சாதனங்கள் பாதிக்கப்படக்கூடியவை" என்ற வரியுடன் இது மிகவும் முரண்படுகிறது. எண்களைக் குறிக்கும் சொற்கள் மற்றும் பதட்டங்களின் மத்தியில் நாம் இறங்கப் போவதில்லை என்றாலும், லுட்விக் என்ன சொல்கிறார் என்றால், ஆண்ட்ராய்டு 4.0 அல்லது அதற்கு மேற்பட்டவை இயங்கும் சாதனங்கள் - இது கூகிள் சேவைகளைக் கொண்ட அனைத்து செயலில் உள்ள சாதனங்களில் 95 சதவிகிதம் - எதிராக பாதுகாப்பு உள்ளது ஒரு இடையக வழிதல் தாக்குதல் கட்டப்பட்டது.

ASLR (A ddress S speed L ayout R andomization) என்பது ஒரு செயல்முறையாகும், இது ஒரு செயல்பாட்டின் நினைவக முகவரி இடைவெளிகளின் சீரற்ற ஏற்பாட்டின் மூலம் அவர் அல்லது அவள் முயற்சிக்க விரும்பும் செயல்பாட்டை நம்பத்தகுந்த முறையில் கண்டுபிடிப்பதைத் தடுக்கிறது. ஜூன் 2005 முதல் இயல்புநிலை லினக்ஸ் கர்னலில் ASLR இயக்கப்பட்டது, மேலும் பதிப்பு 4.0 (ஐஸ்கிரீம் சாண்ட்விச்) உடன் Android இல் சேர்க்கப்பட்டது.

வாய்க்கு அது எப்படி?

இதன் பொருள் என்னவென்றால், இயங்கும் ஒரு நிரல் அல்லது சேவையின் முக்கிய பகுதிகள் ஒவ்வொரு முறையும் ரேமில் ஒரே இடத்தில் வைக்கப்படுவதில்லை. சீரற்ற முறையில் விஷயங்களை நினைவகத்தில் வைப்பது என்பது எந்தவொரு தாக்குதலாளரும் அவர்கள் பயன்படுத்த விரும்பும் தரவை எங்கு தேடுவது என்று யூகிக்க வேண்டும் என்பதாகும்.

இது சரியான பிழைத்திருத்தம் அல்ல, பொதுவான பாதுகாப்பு பொறிமுறையானது நல்லது என்றாலும், அறியப்பட்ட சுரண்டல்கள் எழும்போது அவர்களுக்கு எதிராக எங்களுக்கு நேரடியாகத் திட்டுகள் தேவை. கூகிள், சாம்சங் (1), (2) மற்றும் அல்காடெல் ஆகியவை மேடைக்கு ஒரு நேரடி இணைப்பை அறிவித்துள்ளன, மேலும் சோனி, எச்.டி.சி மற்றும் எல்ஜி ஆகியவை ஆகஸ்ட் மாதத்தில் புதுப்பிப்பு இணைப்புகளை வெளியிடுவதாக கூறுகின்றன.

இந்த சுரண்டலை யார் கண்டுபிடித்தார்கள்?

பிளாக்ஹாட் மாநாட்டில் அதன் வருடாந்திர விருந்துக்கான அறிவிப்பின் ஒரு பகுதியாக மொபைல் பாதுகாப்பு நிறுவனமான ஜிம்பீரியம் இந்த சுரண்டலை ஜூலை 21 அன்று அறிவித்தது. ஆம், நீங்கள் அதை சரியாகப் படித்தீர்கள். இந்த "அனைத்து ஆண்ட்ராய்டு பாதிப்புகளின் தாய்", ஜூலை 21 அன்று அறிவிக்கப்பட்டது (யாராவது கவலைப்பட முடிவு செய்வதற்கு ஒரு வாரத்திற்கு முன்பே, வெளிப்படையாக), மற்றும் ஒரு சில சொற்கள் இன்னும் பெரிய குண்டுவெடிப்பு "ஆகஸ்ட் 6 மாலை, ஜிம்பேரியம் வேகாஸ் கட்சி காட்சியை ராக் செய்யுங்கள்! " இது ஒரு ராகராக இருக்கப்போகிறது என்பது உங்களுக்குத் தெரியும், ஏனெனில் இது "எங்களுக்கு பிடித்த நிஞ்ஜாக்களுக்கான எங்கள் வருடாந்திர வேகாஸ் விருந்து", முற்றிலும் ஒரு ராக்கின் ஹேஸ்டேக் மற்றும் எல்லாவற்றையும் கொண்டு.

இந்த சுரண்டல் எவ்வளவு பரவலாக உள்ளது?

மீண்டும், libStageFright நூலகத்தில் உள்ள குறைபாடுகளைக் கொண்ட சாதனங்களின் எண்ணிக்கை மிகவும் பெரியது, ஏனெனில் இது OS இல் தான். கூகிள் பல முறை குறிப்பிட்டுள்ளபடி, உங்கள் சாதனத்தைப் பாதுகாக்க வேண்டிய பிற முறைகள் உள்ளன. அடுக்குகளில் பாதுகாப்பு என்று நினைத்துப் பாருங்கள்.

எனவே நான் ஸ்டேஜ்ஃப்ரைட் பற்றி கவலைப்பட வேண்டுமா இல்லையா?

நல்ல செய்தி என்னவென்றால், ஸ்டேஜ்ஃப்ரைட்டில் இந்த குறைபாட்டைக் கண்டுபிடித்த ஆராய்ச்சியாளர் "காடுகளில் ஹேக்கர்கள் அதை சுரண்டிக்கொள்கிறார்கள் என்று நம்பவில்லை." எனவே இது மிகவும் மோசமான விஷயம், வெளிப்படையாக யாரும் உண்மையில் யாருக்கும் எதிராக பயன்படுத்தவில்லை, குறைந்தபட்சம் இந்த ஒரு நபரின் கூற்றுப்படி. மீண்டும், கூகிள் நீங்கள் Android 4.0 அல்லது அதற்கு மேல் பயன்படுத்துகிறீர்கள் எனில், நீங்கள் சரியாக இருக்கப் போகிறீர்கள்.

இது ஒரு மோசமான சாத்தியமான சுரண்டல் அல்ல என்று அர்த்தமல்ல. இது. உற்பத்தியாளர் மற்றும் கேரியர் சுற்றுச்சூழல் அமைப்பு மூலம் புதுப்பிப்புகளைப் பெறுவதில் உள்ள சிரமங்களை இது மேலும் எடுத்துக்காட்டுகிறது. மறுபுறம், இது ஆண்ட்ராய்டு 2.2 முதல் அல்லது கடந்த ஐந்து ஆண்டுகளில் இருந்து சுரண்டலுக்கான சாத்தியமான வழி. இது உங்கள் பார்வையைப் பொறுத்து உங்களை ஒரு நேர வெடிகுண்டு அல்லது தீங்கற்ற நீர்க்கட்டியாக மாற்றுகிறது.

கூகிள் தனது பங்கிற்கு, ஜூலை மாதத்தில் ஆண்ட்ராய்டு சென்ட்ரலுக்கு மீண்டும் வலியுறுத்தியது, பயனர்களைப் பாதுகாக்க பல வழிமுறைகள் உள்ளன.

ஜோசுவா டிரேக்கின் பங்களிப்புகளுக்கு நன்றி. Android பயனர்களின் பாதுகாப்பு எங்களுக்கு மிகவும் முக்கியமானது, எனவே நாங்கள் விரைவாக பதிலளித்தோம், எந்தவொரு சாதனத்திற்கும் பயன்படுத்தக்கூடிய கூட்டாளர்களுக்கு திட்டுகள் ஏற்கனவே வழங்கப்பட்டுள்ளன.

எல்லா புதிய சாதனங்களும் உட்பட பெரும்பாலான Android சாதனங்கள் பல தொழில்நுட்பங்களைக் கொண்டுள்ளன, அவை சுரண்டலை மிகவும் கடினமாக்குகின்றன. Android சாதனங்களில் பயனர் தரவு மற்றும் சாதனத்தில் உள்ள பிற பயன்பாடுகளைப் பாதுகாக்க வடிவமைக்கப்பட்ட பயன்பாட்டு சாண்ட்பாக்ஸும் அடங்கும்.

ஸ்டேஜ்ஃப்ரைட்டை சரிசெய்ய புதுப்பிப்புகள் பற்றி என்ன?

இதை உண்மையாக இணைக்க எங்களுக்கு கணினி புதுப்பிப்புகள் தேவை. ஆகஸ்ட் 12 புல்லட்டின் புதிய "ஆண்ட்ராய்டு பாதுகாப்பு குழு" இல், கூகிள் அதன் முடிவில் இருந்து விஷயங்களை விவரிக்கும் "நெக்ஸஸ் பாதுகாப்பு புல்லட்டின்" ஒன்றை வெளியிட்டது. பல சி.வி.இ.கள் (பொதுவான பாதிப்புகள் மற்றும் வெளிப்பாடுகள்) பற்றிய விவரங்கள் உள்ளன, இதில் கூட்டாளர்களுக்கு அறிவிக்கப்பட்டபோது (ஏப்ரல் 10 முதல், ஒன்றுக்கு), அண்ட்ராய்டு பிரத்யேக திருத்தங்களை (ஆண்ட்ராய்டு 5.1.1, எல்.எம்.ஒய் 48 ஐ உருவாக்குதல்) மற்றும் வேறு ஏதேனும் தணிக்கும் காரணிகள் (மேற்கூறிய ASLR நினைவக திட்டம்).

கூகிள் அதன் Hangouts மற்றும் மெசஞ்சர் பயன்பாடுகளை புதுப்பித்திருப்பதாகவும், அதனால் அவை பின்னணியில் வீடியோ செய்திகளை தானாக செயலாக்காது என்றும் "இதனால் மீடியா தானாக மீடியாசர்வர் செயல்முறைக்கு அனுப்பப்படாது" என்றும் கூகிள் கூறியது.

மோசமான செய்தி என்னவென்றால், கணினி புதுப்பிப்புகளை வெளியேற்றுவதற்கு உற்பத்தியாளர்கள் மற்றும் கேரியர்கள் மீது காத்திருக்க வேண்டியது பெரும்பாலான மக்கள் செய்கிறார்கள். ஆனால், மீண்டும் - 900 மில்லியன் பாதிக்கப்படக்கூடிய தொலைபேசிகளைப் போல நாங்கள் பேசும்போது, ​​சுரண்டல் தொடர்பான பூஜ்ஜிய வழக்குகளையும் நாங்கள் பேசுகிறோம். அவை நல்ல முரண்பாடுகள்.

இங்கிருந்து புதுப்பிப்புகள் பிழைத்திருத்தத்தைக் கொண்டிருக்கும் என்று HTC கூறியுள்ளது. மேலும் சயனோஜென் மோட் இப்போது அவற்றை இணைத்து வருகிறது.

மோட்டோரோலா அதன் தற்போதைய தலைமுறை தொலைபேசிகள் அனைத்தும் - மோட்டோ இ முதல் புதிய மோட்டோ எக்ஸ் வரை (மற்றும் இடையில் உள்ள அனைத்தும்) இணைக்கப்படும், இது ஆகஸ்ட் 10 முதல் கேரியர்களுக்கு செல்லும் குறியீடு.

ஆகஸ்ட் 5 ஆம் தேதி, கூகிள் நெக்ஸஸ் 4, நெக்ஸஸ் 5, நெக்ஸஸ் 6, நெக்ஸஸ் 7, நெக்ஸஸ் 9 மற்றும் நெக்ஸஸ் 10 க்கான புதிய கணினி படங்களை வெளியிட்டது. கூகிள் நெக்ஸஸ் வரிக்கான மாதாந்திர பாதுகாப்பு புதுப்பிப்புகளை வெளியிடுவதாகவும் அறிவித்தது. (பகிரங்கமாக வெளியிடப்பட்ட இரண்டாவது எம் முன்னோட்டம் உருவாக்கம் ஏற்கனவே இணைக்கப்பட்டுள்ளது.)

ஸ்டேஜ்ஃபிரைட் சுரண்டலை அவர் பெயரால் குறிப்பிடவில்லை என்றாலும், Google+ இல் முன்பு கூகிளின் அட்ரியன் லுட்விக் ஏற்கனவே சுரண்டல்கள் மற்றும் பாதுகாப்பைப் பற்றி ஏற்கனவே உரையாற்றினார், பயனர்களைப் பாதுகாக்கும் பல அடுக்குகளை மீண்டும் நமக்கு நினைவூட்டுகிறார். அவன் எழுதுகிறான்:

எந்தவொரு மென்பொருள் பிழையும் பாதுகாப்பு சுரண்டலாக மாற்றப்படலாம் என்ற பொதுவான, தவறான அனுமானம் உள்ளது. உண்மையில், பெரும்பாலான பிழைகள் சுரண்டக்கூடியவை அல்ல, மேலும் அந்த முரண்பாடுகளை மேம்படுத்த Android பல விஷயங்களைச் செய்துள்ளது. நினைவக ஊழல் பிழைகள் - ஒரு வகை பிழையை மையமாகக் கொண்ட தொழில்நுட்பங்களில் கடந்த 4 ஆண்டுகளாக அதிக முதலீடு செய்துள்ளோம், மேலும் அந்த பிழைகள் சுரண்டுவதை மிகவும் கடினமாக்க முயற்சிக்கிறோம்.