पब्लिश करने की तारीख: 04 जनवरी, 2016 | अपडेट करने की तारीख: 28 अप्रैल, 2016
हमने Android सुरक्षा बुलेटिन के हर महीने रिलीज़ होने वाले अपडेट के तहत, Nexus डिवाइसों के लिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. यह अपडेट, ओवर-द-एयर (ओटीए) के ज़रिए मिलेगा. Nexus फ़र्मवेयर इमेज, Google डेवलपर साइट पर भी रिलीज़ की गई हैं. LMY49F या इसके बाद के वर्शन और 1 जनवरी, 2016 या इसके बाद के सिक्योरिटी पैच लेवल वाले Android 6.0 में, ये समस्याएं नहीं होतीं. ज़्यादा जानकारी के लिए, अक्सर पूछे जाने वाले सवाल और उनके जवाब सेक्शन देखें.
पार्टनर को 7 दिसंबर, 2015 या उससे पहले, इस सूचना में बताई गई समस्याओं के बारे में सूचना दी गई थी और उन्हें अपडेट भी दिए गए थे. जहां लागू हो, वहां इन समस्याओं के लिए सोर्स कोड के पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ किए गए हैं.
इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
हमें इन नई समस्याओं के बारे में, ग्राहकों के शोषण की कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और SafetyNet जैसी सेवाओं के बारे में ज़्यादा जानने के लिए, कम करने के तरीके सेक्शन देखें. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं. हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
जोखिम कम करने के तरीके
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवा सुरक्षा से जुड़े उन उपायों के बारे में खास जानकारी दी गई है जिनकी मदद से, इस तरह के खतरों को कम किया जा सकता है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, ऐप्लिकेशन की पुष्टि करने की सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रख रही है. इससे, इंस्टॉल किए जाने वाले संभावित रूप से नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी मिलेगी. Google Play पर, डिवाइस को रूट करने वाले टूल उपलब्ध नहीं कराए जा सकते. Google Play के अलावा किसी अन्य सोर्स से ऐप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं को सुरक्षित रखने के लिए, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, उपयोगकर्ताओं को रूट करने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Verify ऐप्लिकेशन, ऐसे नुकसान पहुंचाने वाले ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करता है जो ऐक्सेस लेवल बढ़ाने की सुविधा का गलत इस्तेमाल करते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और ऐसे सभी ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, मीडिया को mediaserver जैसी प्रोसेस को अपने-आप पास नहीं करते.
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
- Google Chrome की सुरक्षा टीम के अभिषेक आर्य, ऑलिवर चांग, और मार्टिन बारबेला: CVE-2015-6636
- सेन नी (@nforest_) और Tencent के KEEN lab के jfang (@K33nTeam): CVE-2015-6637
- Android Bionic टीम की याबिन कुई: CVE-2015-6640
- Google X के टॉम क्रेग: CVE-2015-6641
- जैन हॉर्न (https://thejh.net): CVE-2015-6642
- Jouni Malinen PGP id EFC895FA: CVE-2015-5310
- Google की सूचना सुरक्षा इंजीनियर टीम के क्वान न्येन: CVE-2015-6644
- गैल बेनियामिनी (@laginimaineb, http://bits-please.blogspot.com): CVE-2015-6639
सुरक्षा से जुड़े जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-01-2016 के पैच लेवल पर लागू होती है. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, उससे जुड़ी गड़बड़ी, गंभीरता, अपडेट किए गए वर्शन, और शिकायत करने की तारीख शामिल होती है. उपलब्ध होने पर, हम उस AOSP बदलाव को बग आईडी से लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से, AOSP के अन्य रेफ़रंस जुड़े होते हैं.
Mediaserver में रिमोट कोड लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या
खास तौर पर तैयार की गई मीडिया फ़ाइल और डेटा को प्रोसेस करने के दौरान, मीडिया सर्वर में मौजूद कमजोरियों की वजह से, हैकर को मेमोरी को नुकसान पहुंचाने और रिमोट कोड प्रोग्राम चलाने का मौका मिल सकता है.
जिस फ़ंक्शन पर असर पड़ा है उसे ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध कराया जाता है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट के ज़रिए उस फ़ंक्शन को ऐक्सेस किया जा सकता है. इनमें मल्टीमीडिया मैसेज (एमएमएस) और ब्राउज़र से मीडिया चलाने की सुविधा सबसे अहम है.
मीडिया सर्वर सेवा के संदर्भ में, रिमोट कोड को चलाने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेटिंग दी गई है. मीडिया सर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6636 | ANDROID-25070493 | सबसे अहम | 5.0, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
| ANDROID-24686670 | सबसे अहम | 5.0, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
misc-sd ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
MediaTek के misc-sd ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस में हमेशा के लिए बदलाव हो सकता है. ऐसे में, डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | गड़बड़ी(गड़बड़ियां) | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6637 | ANDROID-25307013* | सबसे अहम | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 अक्टूबर, 2015 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Imagination Technologies ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Imagination Technologies के कर्नेल ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी एक कमज़ोरी है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. ऐसे में, डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | गड़बड़ी(गड़बड़ियां) | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6638 | ANDROID-24673908* | सबसे अहम | 5.0, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Trustzone में खास सुविधाओं के ऐक्सेस से जुड़ी समस्याएं
Widevine QSEE TrustZone ऐप्लिकेशन में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, किसी ऐप्लिकेशन को QSEECOM का ऐक्सेस मिल सकता है. इससे वह Trustzone कॉन्टेक्स्ट में, मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. ऐसे में, डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | गड़बड़ी(गड़बड़ियां) | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6639 | ANDROID-24446875* | सबसे अहम | 5.0, 5.1.1, 6.0, 6.0.1 | 23 सितंबर, 2015 |
| CVE-2015-6647 | ANDROID-24441554* | सबसे अहम | 5.0, 5.1.1, 6.0, 6.0.1 | 27 सितंबर, 2015 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल में प्रिविलेज एस्केलेशन की जोखिम
कर्नेल में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. ऐसे में, डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6640 | ANDROID-20017123 | सबसे अहम | 4.4.4, 5.0, 5.1.1, 6.0 | Google आन्तरिक |
ब्लूटूथ में प्रिविलेज एस्केलेशन की समस्या
ब्लूटूथ कॉम्पोनेंट में, ऐलिवेशन ऑफ़ प्रिविलेज की समस्या होने पर, ब्लूटूथ से कनेक्ट किए गए किसी रिमोट डिवाइस को उपयोगकर्ता की निजी जानकारी (संपर्क) ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, रिमोट तौर पर “खतरनाक” सुविधाएं पाने के लिए किया जा सकता है. ये अनुमतियां, सिर्फ़ स्थानीय तौर पर इंस्टॉल किए गए तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस कर सकते हैं.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6641 | ANDROID-23607427 [2] | ज़्यादा | 6.0, 6.0.1 | Google आन्तरिक |
कर्नेल में जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
कर्नेल में मौजूद, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका, सुरक्षा से जुड़े उपायों को बायपास करने की अनुमति दे सकती है. इससे, प्लैटफ़ॉर्म का गलत इस्तेमाल करने वाले लोगों को मुश्किल हो सकती है. इन समस्याओं को गंभीर समस्याओं के तौर पर रेट किया गया है, क्योंकि इनका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए भी किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के फ़ायदे. ये सुविधाएं तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | गड़बड़ी(गड़बड़ियां) | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6642 | ANDROID-24157888* | ज़्यादा | 4.4.4, 5.0, 5.1.1, 6.0 | 12 सितंबर, 2015 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
सेटअप विज़र्ड में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
सेटअप विज़र्ड में, ऐक्सेस लेवल बढ़ाने की सुविधा से, डिवाइस का फ़िज़िकल ऐक्सेस रखने वाला हमलावर, डिवाइस की सेटिंग का ऐक्सेस हासिल कर सकता है और डिवाइस को मैन्युअल तरीके से रीसेट कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल फ़ैक्ट्री रीसेट की सुरक्षा से बचने के लिए किया जा सकता है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6643 | ANDROID-25290269 [2] | काफ़ी हद तक ठीक है | 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
वाई-फ़ाई में प्रिविलेज एस्केलेशन की समस्या
वाई-फ़ाई कॉम्पोनेंट में, ऐलिवेशन ऑफ़ प्रिविलेज की समस्या होने पर, आस-पास मौजूद हमलावर वाई-फ़ाई सेवा से जुड़ी जानकारी ऐक्सेस कर सकता है. कोई डिवाइस सिर्फ़ तब इस समस्या का शिकार हो सकता है, जब वह किसी दूसरे डिवाइस के आस-पास हो. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, डिवाइस को रिमोट तौर पर “सामान्य” सुविधाएं देने के लिए किया जा सकता है. ये अनुमतियां, डिवाइस पर इंस्टॉल किए गए तीसरे पक्ष के ऐप्लिकेशन ही ऐक्सेस कर सकते हैं.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-5310 | ANDROID-25266660 | काफ़ी हद तक ठीक है | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 अक्टूबर, 2015 |
Bouncy Castle में जानकारी ज़ाहिर करने से जुड़ी समस्या
Bouncy Castle में जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका की वजह से, स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को उपयोगकर्ता की निजी जानकारी का ऐक्सेस मिल सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल गलत तरीके से “खतरनाक” अनुमतियां पाने के लिए किया जा सकता है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6644 | ANDROID-24106146 | काफ़ी हद तक ठीक है | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
SyncManager में सेवा में रुकावट डालने से जुड़ी समस्या
SyncManager में, सेवा के अस्वीकार होने की समस्या की वजह से, कोई स्थानीय और नुकसान पहुंचाने वाला ऐप्लिकेशन, रीबूट लूप को चालू कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल कुछ समय के लिए सेवा में रुकावट डालने के लिए किया जा सकता है. इसे ठीक करने के लिए, फ़ैक्ट्री रीसेट करना पड़ सकता है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6645 | ANDROID-23591205 | काफ़ी हद तक ठीक है | 4.4.4, 5.0, 5.1.1, 6.0 | Google आन्तरिक |
Nexus के कर्नेल के लिए, हमले की जगह को कम करना
SysV IPC, किसी भी Android कर्नेल में काम नहीं करता. हमने इसे ऑपरेटिंग सिस्टम से हटा दिया है, क्योंकि इससे हमला करने के लिए एक और तरीका मिल जाता है. इसकी वजह से, सिस्टम में कोई ऐसी सुविधा नहीं जोड़ी जाती जिसका गलत इस्तेमाल नुकसान पहुंचाने वाले ऐप्लिकेशन कर सकें. साथ ही, System V के आईपीसी, Android के ऐप्लिकेशन लाइफ़साइकल के मुताबिक नहीं हैं. इसकी वजह यह है कि मेमोरी मैनेजर, ऐलोकेट किए गए संसाधनों को खाली नहीं कर पाता. इस वजह से, ग्लोबल कर्नेल संसाधन का लीक हो जाता है. इस बदलाव से, CVE-2015-7613 जैसी समस्याएं हल हो जाती हैं.
| CVE | गड़बड़ी(गड़बड़ियां) | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6646 | ANDROID-22300191* | काफ़ी हद तक ठीक है | 6.0 | Google आन्तरिक |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
LMY49F या उसके बाद के वर्शन और 1 जनवरी, 2016 या उसके बाद के सिक्योरिटी पैच लेवल वाले Android 6.0 में, ये समस्याएं नहीं होतीं. सिक्योरिटी पैच लेवल देखने का तरीका जानने के लिए, Nexus दस्तावेज़ देखें. डिवाइस बनाने वाली जिन कंपनियों ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-01-01]
संशोधन
- 04 जनवरी, 2016: बुलेटिन पब्लिश किया गया.
- 06 जनवरी, 2016: AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया.
- 28 अप्रैल, 2016: 'धन्यवाद' सेक्शन से CVE-2015-6617 को हटाया गया और खास जानकारी वाली टेबल में CVE-2015-6647 को जोड़ा गया