بڑے پیمانے پر اینڈرائیڈ کمزوری نے لاکھوں کرپٹو والٹس کو ہیکرز کے سامنے چھوڑ دیا۔
مائیکروسافٹ ڈیفنڈر سیکیورٹی ریسرچ ٹیم کی ایک نئی شائع شدہ رپورٹ کے مطابق، مقبول تھرڈ پارٹی اینڈرائیڈ سافٹ ویئر ڈویلپمنٹ کٹ (SDK) میں شدید خطرے نے لاکھوں کرپٹو کرنسی والیٹس کو ڈیٹا چوری کا خطرہ بنا دیا۔
اس خامی نے بدنیتی پر مبنی ایپلیکیشنز کو Android کے بنیادی سیکیورٹی سینڈ باکس کو نظرانداز کرنے کی اجازت دی ہے۔
خطرے کا دائرہ
کمزوری نے ایپلی کیشنز کی ایک وسیع رینج کو متاثر کیا ہے۔ کریپٹو کرنسی اور ڈیجیٹل والیٹ ایکو سسٹم نے ذخیرہ شدہ ڈیٹا کی اعلیٰ قدر کی وجہ سے نمائش کا نقصان اٹھایا۔
مائیکروسافٹ نے متاثرہ تھرڈ پارٹی کرپٹو والیٹ ایپلی کیشنز کی 30 ملین سے زیادہ تنصیبات کی نشاندہی کی۔ مجموعی نمائش 50 ملین تنصیبات سے تجاوز کر گئی۔
اگر اس کا استحصال کیا جاتا ہے تو، خطرے سے ذاتی طور پر قابل شناخت معلومات (PII)، نجی صارف کی اسناد، اور حساس مالیاتی ڈیٹا کو بے نقاب کیا جا سکتا ہے جو متاثرہ ایپ کی نجی ڈائریکٹریوں میں گہرائی میں محفوظ ہے۔
خوش قسمتی سے، مائیکروسافٹ نے نوٹ کیا کہ فی الحال اس بات کا کوئی ثبوت نہیں ہے کہ اس خطرے کا جنگل میں خطرے کے اداکاروں کے ذریعہ فعال طور پر استحصال کیا گیا ہو۔
"انٹٹ ری ڈائریکشن" کی خرابی۔
EngageLab SDK ایک ٹول ہے جسے ڈویلپرز پش نوٹیفیکیشنز اور ریئل ٹائم ان ایپ میسجنگ کا انتظام کرنے کے لیے استعمال کرتے ہیں۔ حفاظتی خامی کا سراغ ایک مخصوص جزو (MTCommonActivity) سے لگایا گیا تھا جسے تعمیر کے عمل کے بعد خود بخود ایپلی کیشن کے پس منظر کوڈ میں شامل کر دیا گیا تھا۔
چونکہ یہ جزو وسیع پیمانے پر برآمد کیا گیا تھا، اس لیے یہ اسی اینڈرائیڈ ڈیوائس پر انسٹال کردہ دیگر ایپلیکیشنز کے لیے قابل رسائی بن گیا۔
اسی ڈیوائس پر نصب ایک بدنیتی پر مبنی ایپ ایک ہیرا پھیری والے پیغام (ایک "ارادہ") تیار کر سکتی ہے اور اسے کمزور کرپٹو والیٹ ایپ کو بھیج سکتی ہے۔
والیٹ ایپ اپنی قابل اعتماد شناخت اور اجازتوں کا استعمال کرتے ہوئے اس ارادے پر کارروائی کرے گی۔
اس نے پرس کو دھوکہ دیا کہ وہ بدنیتی پر مبنی ایپ کو اس کی نجی ڈیٹا ڈائریکٹریز تک مستقل پڑھنے اور لکھنے تک رسائی فراہم کر سکے۔
خطرے کو کم کرنے کے لیے پورے اینڈرائیڈ ایکو سسٹم میں فوری کارروائی کی گئی۔