एक लेटेस्ट सिक्योरिटी लीक ने Samsung, LG सहित कई Android स्मार्टफोन की सिक्योरिटी को खतरे में डाल दिया है। इस सिक्योरिटी लीक ने कथित तौर पर "विश्वसनीय" मैलवेयर ऐप्स का निर्माण किया है, जो कई एंड्रॉयड स्मार्टफोन का एक्सेस लेने में हैकर्स की मदद कर सकते हैं। समस्या की जड़ कई एंड्रॉयड ओईएम के प्लेटफॉर्म पर साइनिंग करने वाली कीज (Keys) का लीक होना है।
Google में एंजीनियर के पद पर काम कर रहे Lukasz Siewierski द्वारा शेयर किया गया है कि Google के Android पार्टनर वल्नरेबिलिटी इनिशिएटिव (APVI) ने सार्वजनिक रूप से एक नई भेद्यता का खुलासा किया है, जो सैमसंग, एलजी और अन्य डिवाइस को प्रभावित करती है। इसका कारण OEMs की प्लेटफॉर्म साइनिंग कीज लीक होना है, जिसके इस्तेमाल एंड्रॉयड डिवाइस पर चल रहे वर्जन की वैधता की जांच करने के लिए किया जाता है। इसी की (Key) का उपयोग अलग-अलग ऐप्स को साइन करने के लिए भी किया जा सकता है।
9to5Google के
अनुसार, Android उसी की (key) के साथ साइन किए गए ऐप पर भरोसा करता है, जिसका उपयोग ऑपरेटिंग सिस्टम पर साइन करने के लिए किया जाता है। ऐसे में उन ऐप साइनिंग कीज के साथ कोई ग
लत इरादा रखने वाला या हैकर किसी प्रभावित डिवाइस पर
मैलवेयर फुल (सिस्टम-स्तरीय) अनुमतियां देने के लिए Android की "शेयर्ड यूजर आईडी" सिस्टम का उपयोग करने में सक्षम होगा, जिसके बाद उस डिवाइस का सारा डेटा किसी बाहरी हाथ में जा सकता है।
Google द्वारा इस मामले में दी गई
जानकारी में यह नहीं बताया गया है कि कौन से डिवाइस या ओईएम इससे प्रभावित हुए थे, लेकिन यह मालवेयर फाइलों के उदाहरण के हैश को दिखाता है। इसके अलावा, प्रत्येक फाइल को VirusTotal पर अपलोड किया गया है, जो अक्सर प्रभावित कंपनी के नाम का भी खुलासा करती है। इसके साथ ही रिपोर्ट में दावा किया गया है कि Samsung, LG, Mediatek, szroco और Revoview की कीज लीक हुई है।
Google के अनुसार, प्रत्येक प्रभावित कंपनी के लिए पहला कदम यह है कि वह अपने Android प्लेटफॉर्म पर साइन करने वाली कुंजियों को स्वैप (या "रोटेट") करे और लीक हो चुकी कीज का उपयोग न करें।