Bumble Users’ Sensitive Data at Risk Due to Old ‘Dangerous’ Flaw: Check Point

0
32


Grindr, Bumble, OKCupid, Cisco Teams, Yango Pro, Edge, Xrecorder, PowerDirector, और कई अन्य लोकप्रिय ऐप्स अभी भी Play Core लाइब्रेरी दोष की चपेट में हैं जो करोड़ों एंड्रॉइड उपयोगकर्ताओं के डेटा को जोखिम में डालते हैं, शोध फर्म जांच बिंदु रिपोर्ट । यह दोष Google द्वारा अप्रैल में ही पैच कर दिया गया था, लेकिन ऐप डेवलपर्स को ख़तरे से पूरी तरह दूर होने के लिए नए Play Core लाइब्रेरी को स्थापित करना चाहिए। उपरोक्त सभी एप्लिकेशन अभी भी पुराने Play Core लाइब्रेरी संस्करण पर हैं। Viber और बुकिंग एप्लिकेशन पुराने संस्करण पर भी थे, लेकिन उन्होंने जल्द ही अपने Play Core लाइब्रेरी को अपडेट किया, एक बार चेक प्वाइंट द्वारा सूचित किया गया।

चेक प्वाइंट के सुरक्षा शोधकर्ताओं का कहना है कि ये ऐप – ग्रिंडर, बम्बल, ओकेक्यूपिड, सिस्को टीम्स, यांगो प्रो, एज, एक्सरेकॉर्डर, पॉवरडायरेक्टर – अभी भी ज्ञात भेद्यता CVE-2020 -8913 के लिए असुरक्षित हैं, भले ही Google ने अपना पैच जारी किया हो। अप्रैल। यह दोष Google के व्यापक रूप से उपयोग किए जाने वाले Play Core लाइब्रेरी में निहित है, जो डेवलपर्स को ऐप में अपडेट और नए फ़ीचर मॉड्यूल को अपने एंड्रॉइड ऐप पर पुश करने देता है। भेद्यता कथित तौर पर एक खतरे वाले अभिनेता को एक ही डिवाइस पर अन्य एप्लिकेशन से संवेदनशील डेटा को नष्ट करने के लिए इन संवेदनशील एप्लिकेशन का उपयोग करने की अनुमति देती है, उपयोगकर्ताओं की निजी जानकारी, जैसे लॉगिन विवरण, पासवर्ड, वित्तीय विवरण और मेल चोरी करते हैं।

Google ने इस बग को स्वीकार किया और इसे गंभीरता से 10 में से 8.8 दर्जा दिया। तकनीक की दिग्गज कंपनी द्वारा पैच को रोल किए हुए आधे से ज्यादा साल हो चुके हैं, लेकिन ऐप डेवलपर्स ने खुद को प्ले कोर लाइब्रेरी अपडेट इंस्टॉल नहीं किया है। चेक प्वाइंट नोट करें कि सितंबर में उनके द्वारा विश्लेषण किए गए Google Play ऐप्स के 13 प्रतिशत ने Google Play Core लाइब्रेरी का उपयोग किया था, और उन एप्लिकेशन के 8 प्रतिशत का एक कमजोर संस्करण रहा। चेक प्वाइंट के बाद पैच वर्जन के लिए अपडेट किए गए Viber और बुकिंग ऐप ने उन्हें भेद्यता के बारे में सूचित किया।

मोबाइल रिसर्च, चेक प्वाइंट के प्रबंधक, अवीरान हज़ूम कहते हैं, “हम अनुमान लगा रहे हैं कि सैकड़ों करोड़ एंड्रॉइड उपयोगकर्ता सुरक्षा जोखिम में हैं। हालाँकि Google ने एक पैच लागू किया है, कई ऐप अभी भी पुराने Play Core पुस्तकालयों का उपयोग कर रहे हैं। भेद्यता CVE-2020-8913 अत्यधिक खतरनाक है। यदि कोई दुर्भावनापूर्ण एप्लिकेशन इस भेद्यता का फायदा उठाता है, तो यह लोकप्रिय अनुप्रयोगों के अंदर कोड निष्पादन प्राप्त कर सकता है, जो असुरक्षित एप्लिकेशन के समान पहुंच प्राप्त करता है। उदाहरण के लिए, भेद्यता एक खतरा अभिनेता को दो-कारक प्रमाणीकरण कोड चोरी करने या क्रेडेंशियल्स हड़पने के लिए बैंकिंग अनुप्रयोगों में कोड इंजेक्ट करने की अनुमति दे सकती है। या, एक धमकी देने वाला अभिनेता पीड़ितों की जासूसी करने के लिए सोशल मीडिया एप्लिकेशन में कोड को इंजेक्ट कर सकता है या सभी संदेशों को हथियाने के लिए सभी IM ऐप्स में कोड इंजेक्ट कर सकता है। यहां हमले की संभावनाएं केवल एक खतरे वाले अभिनेता की कल्पना से सीमित हैं। “

सभी उपयोगकर्ता जिनके पास ये दुर्भावनापूर्ण ऐप्स अपने हैंडसेट में इंस्टॉल हैं, वे अपने संवेदनशील डेटा को जोखिम में डाल रहे हैं। इन ऐप्स को अपने Play Core लाइब्रेरी को अपडेट करने से पहले, अपने एंड्रॉइड फोन से इन ऐप्स को अनइंस्टॉल करने की सलाह दी जाती है।


क्या सरकार को यह बताना चाहिए कि चीनी ऐप्स पर प्रतिबंध क्यों लगाया गया? हमने इस पर चर्चा की कक्षा का, हमारे साप्ताहिक प्रौद्योगिकी पॉडकास्ट, जिसे आप के माध्यम से सदस्यता ले सकते हैं Apple पॉडकास्ट, Google पॉडकास्ट, या आरएसएस, एपिसोड डाउनलोड करें, या बस नीचे दिए गए प्ले बटन को हिट करें।





Source link

Leave a Reply