اینڈرائیڈ فونز میں ایک بڑی سیکیورٹی خامی دریافت

20 نومبر 2019

ای میل

گوگل اسسٹنٹ — شٹر اسٹاک فوٹو
گوگل اسسٹنٹ — شٹر اسٹاک فوٹو

گوگل اسسٹنٹ کو اس لیے متعارف کرایا گیا تاکہ وہ لوگوں کے لیے اسمارٹ فونز میں اپنی آواز سے مختلف کام کرسکیں مگر اس سے ہیکرز کے لیے فون تک رسائی کے راستے بھی کھل گئے۔

19 نومبر کو سائبر سیکیورٹی کمپنی چیک مارکس نے متعدد اینڈرائیڈ فونز بشمول گوگل پکسل سیریز اور سام سنگ گلیکسی فونز میں کمزوریوں کا انکشاف کیا۔

یہ سیکیورٹٰ خامیاں ہیکرز کو صارف کو لاعلم رکھتے ہوئے فونز سے تصاویر اور ویڈیوز لے سکتے ہیں یا ان کی جاسوسی یا لوکیشن پر نظر رکھ سکتے ہیں۔

ہیکرز یہ کام گوگل اسسٹنٹ کی مدد سے کرتے ہیں اور یہ سیکیورٹی خامی اینڈرائیڈ ڈیوائسز کو اس لیے متاثر کرتی ہے کیونکہ اس میں ایپ پرمیشن کو استعمال کیا جاتا ہے۔

چیک مارکس کی جانب سے گوگل اور سام سنگ کو اس سیکیورٹی مسئلے سے جولائی میں آگاہ کیا تھا اور دونوں کمپنیوں نے چیک مارکس کو آگاہ کیا تھا کہ اس مسئلے کے حوالے سے پلے اسٹور میں اسی مہینے ایک اپ ڈیٹ جاری کی گئی تھی۔

اگرچہ یہ اپ ڈیٹ دستیاب ہے مگر یہ واضح نہیں کہ ہر متاثرہ ڈیوائس میں اس مسئلے پر قابو پایا جاسکا ہے یا نہیں۔

گوگل کی جانب سے جاری ایک بیان کے مطابق 'ہم چیک مارکس کی جانب سے اس مسئلے پر ہماری توجہ دلانے پر اسے سراہتے ہیں، اس مسئلے سے گوگل ڈیوائسز کو بچانے کے لیے ایک پلے اسٹور اپ ڈیٹ گوگل کیمرا اپلیکشن کے لیے جولائی 2019 میں جاری کی گئی، یہ اپ ڈیٹ تمام شراکت داروں کے لیے دستیاب ہے'۔

سام سنگ نے اپنے بیان میں کہا کہ گوگل کی جانب سے اس مسئلے سے آگاہ کیے جانے پر اس نے بھی ممکنہ متاثرہ ڈیوائسز کے لیے اپ ڈیٹس جاری کی گئیں 'ہم اینڈرائیڈ ٹیم کے ساتھ اپنی شراکت داری کو اہمیت دیتے ہیں جس سے ہمیں اس مسئلے کو شناخت کرنے اور اس پر براہ راست قابو پانے میں مدد ملی'۔

سائبر چیک کے مطابق ہر وہ چیز جو ہمارے فونز کا حصہ بنتی ہے، اس کے بارے میں باہری ماہرین سے رائے لی جانی چاہیے کیونکہ ہر وقت کسی پر اعتماد نہیں کیا جانا چاہیے۔

چیک مارکس کے محققین نے دریافت کیا کہ وائس اسسٹنٹس کو کسی کے بولے بغیر بھی سیکیورٹی خامی کے نتیجے میں استعمال کیا جاسکتا ہے، جس کے لیے وائس کوڈ بھیجنے کی ضرورت ہوتی ہے۔

بیشتر ایپس کو تصاویر یا ویڈیوز لینے کے لیے صارف کی اجازت کی ضرورت ہوتی ہے مگر وائس اسسٹنٹ سروسز جیسے گوگل اسسٹنٹ اور سام سنگ بیکسبی کو بااعتماد سافٹ وئیر سمجھا جاتا ہے اور انہیں اجازت درکار نہیں ہوتی۔

محققین نے دریافت کیا کہ کوئی بھی ایپ اس کمزوری کا فائدہ اٹھاسکتی ہے اور انہوں نے ایک عام سی موسم کی ایپ تیار کی جس کے پس منظر گوگل اسسٹنٹ سے تصویر یا ویڈیو بنانے کے لیے ایک وائس ریکوئسٹ سینڈ کی۔

مگر ایسی وائس ریکوئسٹ تھی جو صارف تو نہیں سن سکتا کیونکہ کوڈ پر مبنی ہوتی ہے مگر اس کے نتیجے میں گوگل اسسٹنٹ تصاویر اور ویڈیوز بناکر اس سرور پر واپس بھیجنے لگا جو محققین کنٹرول کررہے تھے۔

انہوں نے بتایا کہ اس کمزوری کو لوکیشن پر نظر رکھنے اور صارف کی جاسوسی کے لیے بھی استعمال کیا جاسکتا ہے، بلکہ اس سے فون کال کو بھی ریکارڈ کیا جاسکتا ہے۔