اربوں اینڈرائیڈ فونز اور سمارٹ ڈیوائسز حملے کے لیے کھلے ہیں -- اب کیا کرنا ہے [اپ ڈیٹ]

(تصویری کریڈٹ: شٹر اسٹاک)

اینڈرائیڈ ڈیوائسز کے لیے ممکنہ اصلاحات کی خبروں کے ساتھ اپ ڈیٹ کیا گیا۔ یہ کہانی اصل میں 16 ستمبر 2020 کو شائع ہوئی تھی۔

انڈیانا کی پرڈیو یونیورسٹی میں مقیم تعلیمی محققین نے کہا کہ اربوں اینڈرائیڈ اسمارٹ فونز اور ٹیبلیٹس، لینکس پی سی اور سرورز، اور سمارٹ ہوم اور پہننے کے قابل آلات بلوٹوتھ کی خرابی کا شکار ہیں جو ہیکرز اور پرینکسٹرز کو بغیر اجازت کے ان تک رسائی حاصل کرنے اور ڈیوائسز کو غلط ڈیٹا فراہم کرنے دے سکتے ہیں۔ پایا.



  • سائبر پیر کے سودے: ابھی تمام بہترین پیشکشیں دیکھیں!

عیب، نام بلیسا بلوٹوتھ لو انرجی سپوفنگ اٹیک کے لیے، iOS ڈیوائسز کو بھی متاثر کرتا ہے، لیکن ایپل نے اسے iOS 13.4 اور iPad OS 13.4 اپ ڈیٹس مارچ میں.

ونڈوز ڈیوائسز کمزور نہیں ہیں۔ سرکردہ محقق جیان لانگ وو نے ٹیمپلیٹ اسٹوڈیو کو بتایا کہ ٹیم یہ جانچنے کے قابل نہیں تھی کہ آیا میک او ایس ڈیوائسز کمزور ہوسکتی ہیں۔

'اس کو اپنانے میں آسانی پیدا کرنے کے لیے، BLE [بلیوٹوتھ لو انرجی پروٹوکول] کو دو آلات کے درمیان تعلق قائم کرنے کے لیے محدود یا کسی صارف کے تعامل کی ضرورت ہے،' محققین نے لکھا۔ ان کا تعلیمی کاغذ . 'بدقسمتی سے، یہ سادگی کئی سیکورٹی مسائل کی جڑ ہے.'

محققین کا کہنا تھا کہ انھوں نے اپریل 2019 میں گوگل کو اینڈرائیڈ میں BLESA کی خامی سے آگاہ کیا تھا، لیکن انھیں بتایا گیا کہ ایک اور ٹیم نے گوگل کو صرف تین دن پہلے اسی خامی سے آگاہ کیا تھا۔ بہر حال، گوگل پکسل ایکس ایل پر چلنے والا اینڈرائیڈ 10 جون 2020 تک BLESA حملوں کے لیے 'اب بھی کمزور' تھا، محققین نے کہا۔

محققین نے کہا کہ بہت سے سمارٹ ہوم اور پہننے کے قابل آلات، بشمول اگست کا سمارٹ لاک، Fitbit Versa smartwatch، Nest Cam Indoor Camera اور Nest Protect Smoke detector، بھی BLESA حملوں کا خطرہ ہیں کیونکہ انہوں نے پہلے سے جوڑے ہوئے آلات کی صحیح طور پر تصدیق نہیں کی تھی۔

TemplateStudio نے اینڈرائیڈ کے حوالے سے وضاحت کے لیے گوگل سے رابطہ کیا ہے، اور جب ہمیں جواب موصول ہوگا تو ہم اس کہانی کو اپ ڈیٹ کریں گے۔ زیڈ ڈی نیٹ اس کہانی کی اطلاع دینے والی پہلی اشاعتوں میں شامل تھی۔

BLESA حملوں سے اپنے آپ کو کیسے بچایا جائے۔

BLESA کی خامی بلوٹوتھ کے پرانے، 'کلاسک' ورژن میں موجود نہیں ہے جسے آپ اپنے وائرلیس ہیڈ فون کو اپنے اسمارٹ فون سے جوڑنے کے لیے استعمال کریں گے۔ بلکہ، یہ نئے بلوٹوتھ لو انرجی (BLE) پروٹوکول میں ہے، جو کم پاور لیتا ہے اور ریگولر بلوٹوتھ کے مقابلے میں سست رفتار پر ڈیٹا منتقل کرتا ہے۔

55 انچ غیر سمارٹ ٹی وی

BLE سمارٹ ہوم اور پہننے کے قابل آلات، جیسے فٹنس بینڈ یا لائٹ بلب کو جوڑنے کے لیے مثالی ہے، جن کو بہت زیادہ ڈیٹا منتقل کرنے کی ضرورت نہیں ہوتی ہے اور جن کی بیٹریاں باقاعدہ بلوٹوتھ کے ذریعے جلدی ختم ہو جاتی ہیں۔

بدقسمتی سے، زیادہ تر سمارٹ فونز آپ کو باقاعدہ بلوٹوتھ کو آن رکھتے ہوئے BLE کو آف نہیں کرنے دیتے۔ لہذا یہ یقینی بنانے کے لیے کہ آپ BLESA حملوں کا شکار نہیں ہیں، جب بھی آپ اسے استعمال نہیں کر رہے ہوں تو اپنے Android فون پر بلوٹوتھ کو بند کر دیں۔ آپ کو اپنی بلوٹوتھ کی ترتیبات میں بھی جانا چاہئے اور پہلے سے جوڑا بنائے گئے کسی بھی آلات کو 'بھول جانا' چاہئے جسے آپ اب استعمال نہیں کرتے ہیں۔

اگر آپ آئی فون پر ہیں، تو بس اس بات کو یقینی بنائیں کہ آپ iOS 13.4 یا اس کے بعد کے ورژن پر اپ ڈیٹ ہیں۔ لینکس ڈسٹری بیوشنز کو ایک کمزور BLE سافٹ ویئر لائبریری کو ایک ایسی لائبریری سے تبدیل کر کے پیچ کیا جائے گا جس میں BLESA کا مسئلہ نہیں ہے۔

BLESA حملہ کیسے کام کرتا ہے۔

جب آپ ایک بلوٹوتھ ڈیوائس کو دوسرے کے ساتھ جوڑتے ہیں، تو ہر ڈیوائس دوسرے کو 'یاد رکھتا ہے' تاکہ وہ جوڑی بنانے کے عمل کو دہرائے بغیر دوبارہ جڑ سکیں۔ تاہم، ڈیوائسز کو دوبارہ منسلک ہونے پر ایک دوسرے سے اپنی شناخت کی تصدیق کرنی ہوگی۔

BLESA کی خرابی اس وقت سامنے آتی ہے جب پہلے سے جوڑا بنائے گئے آلات دوبارہ کنکشن کے دوران درست طریقے سے تصدیق کے لیے نہیں پوچھتے، یا تصدیق کو صحیح طریقے سے نافذ نہیں کرتے۔ حملہ آور ان کمیوں کا فائدہ اٹھا سکتا ہے اور دوسرے کا بہانہ کرتے ہوئے ایک ڈیوائس تک رسائی حاصل کر سکتا ہے۔ محققین نے اعداد و شمار کا حوالہ دیتے ہوئے کہا ہے کہ 2023 تک دنیا بھر میں 5 بلین آلات BLE استعمال کریں گے۔

BLESA کی خامی کا استعمال کرتے ہوئے، ایک قریبی حملہ آور ایک آلہ ہونے کا بہانہ کر سکتا ہے جس کے ساتھ آپ کا فون پہلے ہی جوڑا بنا ہوا ہے، اور آپ کے فون سے جڑ سکتا ہے۔ دو آلات میں سے صرف ایک میں BLESA کی خرابی کی ضرورت ہے۔

'محققین کے مطابق اس سے کئی منظرنامے جنم لے سکتے ہیں،' نے کہا پرڈیو ویب سائٹ پر ایک پوسٹنگ . 'مثال کے طور پر، نقصان دہ کی اسٹروکس کو اسمارٹ فون یا ڈیسک ٹاپ میں داخل کیا جاسکتا ہے جب یہ BLE کی بورڈ سے دوبارہ جڑتا ہے۔ یا جب صارف BLE گلوکوز مانیٹر سے ڈیٹا پڑھتا ہے تو اسمارٹ فون میں گلوکوز لیول کی جعلی ویلیو انجیکشن کی جا سکتی ہے۔ فٹنس ٹریکر سے دوبارہ منسلک ہونے پر صارف کو جعلی فٹنس ڈیٹا موصول ہو سکتا ہے۔'

بہترین اوور ایئر ہیڈ فون وائرلیس

حملہ آور کو دو آلات میں سے کسی ایک کی شناخت کرنے والی خصوصیات میں سے کم از کم کچھ جاننے کی ضرورت ہوگی، لیکن وہ دونوں آلات کے درمیان جائز بلوٹوتھ ٹریفک کو 'سنفنگ' کرکے آسانی سے حاصل کی جاسکتی ہیں۔

محققین نے اس حملے کا مظاہرہ ایک ویڈیو میں کیا جس میں دیکھا جا سکتا ہے کہ ایک اینڈرائیڈ فون پہلے اورا 'سمارٹ' رنگ سے جڑتا ہے، پھر ایک لیپ ٹاپ کے ساتھ اورا کی انگوٹی ہونے کا بہانہ کرتا ہے۔ اورا اینڈرائیڈ ایپ فرق نہیں بتا سکتی۔ (تاہم، اورا خود BLESA کے خلاف محققین کے ذریعہ جانچے گئے دیگر پہننے کے قابل آلات کے مقابلے میں بہتر طور پر محفوظ تھا۔)

اکیڈمک پیپر کا کہنا ہے کہ 'BLESA کا استعمال کرتے ہوئے، حملہ آور کامیابی کے ساتھ انگوٹھی کی نقالی کرتا ہے، فون میں جعلی ڈیٹا داخل کرتا ہے، اور فون پر چلنے والی انگوٹی کی ساتھی ایپلی کیشن جعلی ڈیٹا کو قبول کرتی ہے اور اسے ظاہر کرتی ہے،' اکیڈمک پیپر کا کہنا ہے۔

تحقیقاتی ٹیم کی قیادت جیان لانگ وو نے کی اور اس میں اس کے پانچ پرڈیو ساتھی اور سوئٹزرلینڈ میں ایکول پولی ٹیکنک فیڈرل ڈی لوزانے سے ایک محقق شامل تھا۔ انہوں نے اگست میں USENIX WOOT '20 ورچوئل کانفرنس کے دوران اپنے نتائج پیش کیے، جس کے دوران ٹیم نے کانفرنس کے بہترین پیپر کا ایوارڈ جیتا تھا۔

آپ کر سکتے ہیں۔ ان کی پوری USENIX پریزنٹیشن دیکھیں , ان کی سلائیڈیں دیکھیں یا ان کا تحقیقی مقالہ پڑھیں بغیر کسی پابندی کے آن لائن۔

اپ ڈیٹ: ہو سکتا ہے کہ اینڈرائیڈ کی کمزوری کم ہو گئی ہو۔

بعد ازاں 16 ستمبر کو، سرکردہ محقق جیانلیانگ وو نے TemplateStudio کو ای میل کیا تاکہ ہمیں آگاہ کیا جا سکے۔ نیا بیان ریسرچ ٹیم کی طرف سے.

'ہمیں حال ہی میں گوگل کی طرف سے مشورہ دیا گیا تھا کہ پہلے کے CVE (2019-2225) کو درست کیا جائے [کا حصہ دسمبر 2019 کے Android سیکیورٹی اپ ڈیٹس ] BLESA کو کم کرے گا۔ وقت کی کمی کی وجہ سے، ہم نے آزادانہ طور پر BLESA کے خلاف اس کی تاثیر کی تصدیق نہیں کی ہے۔ لیکن ہم مستقبل قریب میں ایسا کریں گے۔ ہم اس معلومات کو شیئر کرنے کے لیے گوگل کے ساتھیوں کا شکریہ ادا کرنا چاہیں گے۔'

تخفیف ایک مکمل حل نہیں ہے، لیکن یہ ایسی چیز ہے جس سے خطرے کے اثرات کو کم کرنا چاہیے۔ TemplateStudio کو Android بلوٹوتھ لو انرجی سافٹ ویئر میں BLESA کے ممکنہ خطرے کے بارے میں گوگل کی طرف سے کوئی جواب موصول نہیں ہوا ہے۔

آج کی بہترین Apple iPhone SE (2020) ڈیلزمنصوبے کھلاصرف /ماہ سے شروع ہونے والا ایک نیا iPhone SE + Premium Wireless حاصل کریں۔ Mint Mobile US کوئی معاہدہ نہیں۔ Apple iPhone SE (2020) (اقساط Apple iPhone SE (2020) (اقساط مفت سامنے .62/مہینہ لا محدود منٹ لا محدود نصوص 4 جی بی ڈیٹا کالز:MX اور CA کو کالز شامل ہیں۔متن:MX اور CA کو پیغام رسانی شامل ہے۔ڈیٹا:(128kbps رفتار پر سست) Mint Mobile US کوئی معاہدہ نہیں۔ لا محدود منٹ لا محدود نصوص 4 جی بی ڈیٹا کالز:MX اور CA کو کالز شامل ہیں۔متن:MX اور CA کو پیغام رسانی شامل ہے۔ڈیٹا:(128kbps رفتار پر سست) ڈیل دیکھیں پر منٹ موبائل مفت سامنے .62/مہینہ ڈیل دیکھیں پر منٹ موبائل 0 ورچوئل گفٹ کارڈ + مفت بیٹ اسٹوڈیو بڈز حاصل کریں - جب آپ سوئچ کریں اور مرئی پر چالو کریں تو سیاہ کوئی معاہدہ نہیں۔ Apple iPhone SE (2020) (اقساط Apple iPhone SE (2020) (اقساط مفت سامنے /مہینہ لا محدود منٹ لا محدود نصوص لا محدود ڈیٹا ڈیٹا:(5-12 Mbps کی رفتار ڈاؤن لوڈ کریں، 2-5 Mbps کی رفتار اپ لوڈ کریں) کوئی معاہدہ نہیں۔ لا محدود منٹ لا محدود نصوص لا محدود ڈیٹا ڈیٹا:(5-12 Mbps کی رفتار ڈاؤن لوڈ کریں، 2-5 Mbps کی رفتار اپ لوڈ کریں) ڈیل دیکھیں پر مفت سامنے /مہینہ ڈیل دیکھیں پر بلیک فرائیڈے: اس فون پر کی چھوٹ حاصل کریں + سروس کے پہلے مہینے کے لیے سے زیادہ کے منصوبوں پر 50% چھوٹ Tello US کوئی معاہدہ نہیں۔ Apple iPhone SE (2020) (64GB) Apple iPhone SE (2020) (64GB) 9 سامنے /مہینہ لا محدود منٹ لا محدود نصوص لا محدود ڈیٹا کالز:60+ ممالک کی کالیں شامل ہیں۔ڈیٹا:25GB 4G LTE/5G ڈیٹا کے استعمال کے بعد لامحدود 2G Tello US کوئی معاہدہ نہیں۔ لا محدود منٹ لا محدود نصوص لا محدود ڈیٹا کالز:60+ ممالک کی کالیں شامل ہیں۔ڈیٹا:25GB 4G LTE/5G ڈیٹا کے استعمال کے بعد لامحدود 2G ڈیل دیکھیں پر ٹیلو 9 سامنے /مہینہ ڈیل دیکھیں پر ٹیلو ہم بہترین قیمتوں کے لیے روزانہ 250 ملین سے زیادہ مصنوعات چیک کرتے ہیں۔