पब्लिश करने की तारीख: 01 फ़रवरी, 2016 | अपडेट करने की तारीख: 7 मार्च, 2016
हमने Android सुरक्षा बुलेटिन के हर महीने रिलीज़ होने वाले अपडेट के तहत, Nexus डिवाइसों के लिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. यह अपडेट, ओवर-द-एयर (ओटीए) के ज़रिए मिलेगा. Nexus फ़र्मवेयर इमेज, Google डेवलपर साइट पर भी रिलीज़ की गई हैं. LMY49G या इसके बाद के वर्शन और 1 फ़रवरी, 2016 या इसके बाद के सिक्योरिटी पैच लेवल वाले Android M में, ये समस्याएं नहीं होतीं. सिक्योरिटी पैच लेवल देखने का तरीका जानने के लिए, Nexus के दस्तावेज़ देखें.
पार्टनर को इस सूचना में बताई गई समस्याओं के बारे में 4 जनवरी, 2016 या उससे पहले सूचना दी गई थी. जहां लागू हो, वहां इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए गए हैं.
इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. Broadcom के वाई-फ़ाई ड्राइवर में रिमोट कोड को लागू करने की सुविधा से जुड़ी समस्या भी गंभीर है. इसकी वजह यह है कि इससे हमलावर के नेटवर्क से कनेक्ट होने पर, उस डिवाइस पर रिमोट कोड लागू किया जा सकता है जिस पर इस समस्या का असर पड़ा है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
हमें इन नई समस्याओं के बारे में, ग्राहकों के शोषण की कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और SafetyNet जैसी सेवाओं के बारे में ज़्यादा जानने के लिए, कम करने के तरीके सेक्शन देखें. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं. हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
जोखिम कम करने के तरीके
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवा सुरक्षा से जुड़े उन उपायों के बारे में बताया गया है जिनकी मदद से, इस तरह के खतरों को कम किया जा सकता है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, ऐप्लिकेशन की पुष्टि करने की सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रख रही है. इससे, इंस्टॉल किए जाने वाले संभावित रूप से नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी मिलेगी. Google Play पर, डिवाइस को रूट करने वाले टूल उपलब्ध नहीं कराए जा सकते. Google Play के अलावा किसी अन्य सोर्स से ऐप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं को सुरक्षित रखने के लिए, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, उपयोगकर्ताओं को रूट करने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Verify ऐप्लिकेशन, ऐसे नुकसान पहुंचाने वाले ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करता है जो ऐक्सेस लेवल बढ़ाने की सुविधा का गलत इस्तेमाल करते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और ऐसे सभी ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, मीडिया को mediaserver जैसी प्रोसेस को अपने-आप पास नहीं करते.
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
- Android और Chrome की सुरक्षा टीम: CVE-2016-0809, CVE-2016-0810
- Broadgate टीम: CVE-2016-0801, CVE-2015-0802
- Qihoo 360 की C0RE टीम के चियाचीह वू (@chiachih_wu), मिंगजियन झोउ (@Mingjian_Zhou), और शुक्सियन जियांग ने CVE-2016-0804 की जानकारी दी:
- Google Pixel C टीम के डेविड रीली: CVE-2016-0812
- Lab IceSword, Qihoo 360 के Gengjia Chen (@chengjia4574): CVE-2016-0805
- Tencent के KeenLab (@keen_lab) के @Flanker_hqd: CVE-2016-0811
- Trend Micro (www.trendmicro.com) के Seven Shen (@lingtongshen): CVE-2016-0803
- Alibaba Inc के वेईचाओ सुन (@sunblate): CVE-2016-0808
- Android की सुरक्षा टीम के ज़ैक रिगल (@ebeip90): CVE-2016-0807
सुरक्षा से जुड़े जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-02-2016 के पैच लेवल पर लागू होती है. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और सीवीई, उससे जुड़ी गड़बड़ी, गंभीरता, जिन वर्शन पर असर पड़ा है, और शिकायत करने की तारीख वाली टेबल शामिल होती है. उपलब्ध होने पर, हम उस AOSP कमिट को बग आईडी से लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से, AOSP के अन्य रेफ़रंस जुड़े होते हैं.
Broadcom वाई-फ़ाई ड्राइवर में, रिमोट कोड को लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या
Broadcom Wi-Fi ड्राइवर में, रिमोट कोड प्रोग्राम चलाने से जुड़ी कई कमजोरियां हैं. इनकी मदद से, रिमोट से हमला करने वाला व्यक्ति खास तौर पर बनाए गए वायरलेस कंट्रोल मैसेज पैकेट का इस्तेमाल कर सकता है. इससे, कर्नेल मेमोरी को इस तरह से नुकसान पहुंचाया जा सकता है कि कर्नेल के संदर्भ में रिमोट कोड प्रोग्राम चलाया जा सके. ये जोखिम तब ट्रिगर हो सकते हैं, जब हमलावर और पीड़ित एक ही नेटवर्क से जुड़े हों. इस समस्या को गंभीर माना गया है, क्योंकि उपयोगकर्ता के इंटरैक्शन के बिना, कर्नेल के संदर्भ में रिमोट कोड लागू होने की संभावना है.
| CVE | गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0801 | ANDROID-25662029 ANDROID-25662233 |
सबसे अहम | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 अक्टूबर, 2015 |
| CVE-2016-0802 | ANDROID-25306181 | सबसे अहम | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 अक्टूबर,2015 |
Mediaserver में रिमोट कोड लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या
खास तौर पर तैयार की गई मीडिया फ़ाइल और डेटा को प्रोसेस करने के दौरान, मीडिया सर्वर में मौजूद कमजोरियों की वजह से, हैकर को मेमोरी को नुकसान पहुंचाने और रिमोट कोड प्रोग्राम चलाने का मौका मिल सकता है.
जिस फ़ंक्शन पर असर पड़ा है उसे ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध कराया जाता है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट के ज़रिए उस फ़ंक्शन को ऐक्सेस किया जा सकता है. इनमें मल्टीमीडिया मैसेज (एमएमएस) और ब्राउज़र से मीडिया चलाने की सुविधा सबसे अहम है.
मीडिया सर्वर सेवा के संदर्भ में, रिमोट कोड को चलाने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेटिंग दी गई है. मीडिया सर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0803 | ANDROID-25812794 | सबसे अहम | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 19 नवंबर, 2015 |
| CVE-2016-0804 | ANDROID-25070434 | सबसे अहम | 5.0, 5.1.1, 6.0, 6.0.1 | 12 अक्टूबर, 2015 |
Qualcomm परफ़ॉर्मेंस मॉड्यूल में, खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल करने की सुविधा
Qualcomm के ARM प्रोसेसर के लिए, परफ़ॉर्मेंस इवेंट मैनेजर कॉम्पोनेंट में, विशेषाधिकार बढ़ाने से जुड़ी एक कमज़ोरी है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल में किसी भी कोड को चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. साथ ही, हो सकता है कि डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़े.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0805 | ANDROID-25773204* | सबसे अहम | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 नवंबर, 2015 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Qualcomm वाई-फ़ाई ड्राइवर में एक सुरक्षा से जुड़ी समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. साथ ही, हो सकता है कि डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़े.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0806 | ANDROID-25344453* | सबसे अहम | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 नवंबर, 2015 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Debuggerd में खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Debuggerd कॉम्पोनेंट में प्रिविलेज एस्कलेशन की समस्या की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को डिवाइस के रूट कॉन्टेक्स्ट में कोई भी कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. साथ ही, हो सकता है कि डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़े.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0807 | ANDROID-25187394 | सबसे अहम | 6.0 और 6.0.1 | Google आन्तरिक |
Minikin में सेवा में रुकावट की समस्या
Minikin लाइब्रेरी में, सेवा अस्वीकार करने से जुड़ी एक समस्या है. इसकी मदद से, कोई स्थानीय हमलावर, जिस डिवाइस पर इस समस्या का असर पड़ा है उसका ऐक्सेस कुछ समय के लिए ब्लॉक कर सकता है. हमलावर, किसी ऐसे फ़ॉन्ट को लोड कर सकता है जिस पर भरोसा नहीं किया जा सकता. इससे Minikin कॉम्पोनेंट में ओवरफ़्लो हो सकता है और ऐप्लिकेशन क्रैश हो सकता है. इसे गंभीर समस्या के तौर पर रेटिंग दी गई है, क्योंकि सेवा के अस्वीकार होने की वजह से डिवाइस बार-बार रीबूट होता रहता है.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0808 | ANDROID-25645298 | ज़्यादा | 5.0, 5.1.1, 6.0, 6.0.1 | 3 नवंबर, 2015 |
वाई-फ़ाई में प्रिविलेज एस्केलेशन की समस्या
वाई-फ़ाई कॉम्पोनेंट में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को सिस्टम कॉन्टेक्स्ट में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. कोई डिवाइस सिर्फ़ तब इस समस्या का शिकार हो सकता है, जब वह किसी दूसरे डिवाइस के आस-पास हो. इस समस्या को गंभीर समस्या के तौर पर रेटिंग दी गई है, क्योंकि इसका इस्तेमाल, रिमोट तौर पर “सामान्य” सुविधाओं को ऐक्सेस करने के लिए किया जा सकता है. आम तौर पर, ये अनुमतियां सिर्फ़ स्थानीय तौर पर इंस्टॉल किए गए तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस कर सकते हैं.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0809 | ANDROID-25753768 | ज़्यादा | 6.0, 6.0.1 | Google आन्तरिक |
Mediaserver में प्रिविलेज एस्केलेशन की समस्या
mediaserver में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, किसी लोकल ऐप्लिकेशन को खास सुविधाओं वाले सिस्टम ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के फ़ायदे. ये सुविधाएं, तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0810 | ANDROID-25781119 | ज़्यादा | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
libmediaplayerservice में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
libmediaplayerservice में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या की वजह से, सुरक्षा से जुड़े उपायों को बायपास किया जा सकता है. इससे, प्लैटफ़ॉर्म का गलत इस्तेमाल करने वाले लोगों को मुश्किल हो सकती है. इन समस्याओं को गंभीर समस्याओं के तौर पर रेटिंग दी गई है, क्योंकि इनका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए भी किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के खास अधिकार. ये सुविधाएं तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0811 | ANDROID-25800375 | ज़्यादा | 6.0, 6.0.1 | 16 नवंबर, 2015 |
सेटअप विज़र्ड में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
सेटअप विज़र्ड में मौजूद किसी गड़बड़ी की वजह से, नुकसान पहुंचाने वाला हमलावर, फ़ैक्ट्री रीसेट की सुरक्षा को बायपास करके डिवाइस का ऐक्सेस हासिल कर सकता है. इसे 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इससे डिवाइस का ऐक्सेस रखने वाला कोई व्यक्ति, फ़ैक्ट्री रीसेट की सुरक्षा को बायपास कर सकता है. इससे हमलावर, डिवाइस को रीसेट करके उसका सारा डेटा मिटा सकता है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0812 | ANDROID-25229538 | काफ़ी हद तक ठीक है | 5.1.1, 6.0 | Google आन्तरिक |
| CVE-2016-0813 | ANDROID-25476219 | काफ़ी हद तक ठीक है | 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
LMY49G या उसके बाद के वर्शन और 1 फ़रवरी, 2016 या उसके बाद के सिक्योरिटी पैच लेवल वाले Android 6.0 में, ये समस्याएं नहीं होतीं. सिक्योरिटी पैच लेवल देखने का तरीका जानने के लिए, Nexus दस्तावेज़ देखें. डिवाइस बनाने वाली जिन कंपनियों ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-02-01]
संशोधन
- 1 फ़रवरी, 2016: बुलेटिन पब्लिश किया गया.
- 02 फ़रवरी, 2016: AOSP के लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया.
- 07 मार्च, 2016: AOSP के अन्य लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया.