सैमसंग हैक अभी भी आपको जोखिम में डाल सकता है

March 10, 2022
मेंसमाचार इंटरनेट सुरक्षा

चाबी छीन लेना

चोरी किए गए गैलेक्सी डिवाइस स्रोत कोड का उपयोग हैकर्स के लिए सुरक्षा खामियों और कमजोरियों का पता लगाने के लिए एक आसान तरीके के रूप में किया जा सकता है।
यदि हमलावरों ने बूटलोडर स्रोत कोड भी लिया, तो वे उपकरणों तक सिस्टम-स्तरीय पहुंच प्राप्त कर सकते थे।
ग्राहक जो सबसे अच्छी चीज कर सकते हैं, वह है सुरक्षा अपडेट के शीर्ष पर रहना और नए ऐप इंस्टॉल करते समय या URL का अनुसरण करते समय बहुत सतर्क रहना।

गहरे रंग की पृष्ठभूमि में स्मार्टफोन का उपयोग करने वाले व्यक्ति का क्लोजअप। — d3sign / Getty Images

सैमसंग ने कहा है कि हालिया हैक, जिसके परिणामस्वरूप गैलेक्सी उपकरणों के लिए स्रोत कोड चोरी हो गया, चिंता की कोई बात नहीं है - लेकिन कुछ विशेषज्ञों का मानना है कि चिंता करना आवश्यक है।

जबकि सैमसंग आश्वासन दिया कि न तो ग्राहक और न ही कर्मचारी की व्यक्तिगत जानकारी से समझौता किया गया था, हैकर्स के लिए यह केवल एक संभावित तरीका है। जो डेटा लिया गया था, जिसमें हैकर्स के दावे में बायोमेट्रिक प्रमाणीकरण एल्गोरिदम और बूटलोडर स्रोत कोड शामिल हैं, अभी भी हानिकारक तरीकों से उपयोग किया जा सकता है।

"अधिकांश हाई-प्रोफाइल उल्लंघनों के परिणामस्वरूप व्यक्तिगत डेटा का नुकसान हुआ है जिसमें व्यक्तियों को प्रभावित करने की क्षमता है," ने कहा

पुरंदर दासी, एन्क्रिप्शन-आधारित डेटा सुरक्षा समाधान कंपनी के सीईओ और सह-संस्थापक सोटेरो, लाइफवायर को एक ईमेल में, "एक आधार रेखा स्थापित करना कि व्यक्तिगत डेटा खो नहीं गया था, एक प्रतिवर्त प्रतिक्रिया से अधिक है और वास्तव में किसी भी डेटा उल्लंघन की प्रतिकूल क्षमता का संकेत नहीं है।"

दरारें ढूँढना

गैलेक्सी डिवाइस सोर्स कोड लीक के बारे में सुरक्षा विशेषज्ञों की एक बड़ी चिंता यह है कि उस कोड का उपयोग किस लिए किया जा सकता है। दी, यह सैमसंग उपकरणों के लौकिक शहर की कुंजी नहीं है; हैकर्स महत्वपूर्ण सिस्टम या उसके जैसा कुछ भी तुरंत समझौता करने में सक्षम नहीं होंगे। लेकिन वे डेटा का उपयोग उन कमजोरियों को खोजने के लिए कर सकते हैं जो अभी तक खोजी नहीं गई हैं, फिर उनका फायदा उठाने के तरीकों का पता लगा सकते हैं।

"उपयोगकर्ताओं को यह सुनिश्चित करके अपने फ़ोन पर ऐप्स इंस्टॉल करते समय अतिरिक्त सावधानी बरतनी चाहिए कि यह एक प्रसिद्ध और विश्वसनीय ऐप है, और फ़ोन पर बहुत अधिक अनुमतियों की आवश्यकता नहीं है।"

"जबकि हर सॉफ्टवेयर प्रोग्राम और हर डिवाइस में कुछ कमजोरियां होती हैं, इन बगों को खोजने की प्रक्रिया बेहद समय लेने वाली और कठिन हो सकती है," ने कहा ब्रायन कोंटोस, 25 वर्षीय साइबर सुरक्षा अनुभवी और के मुख्य सुरक्षा अधिकारी फास्फोरस साइबर सुरक्षा, Lifewire को ईमेल में। "लेकिन अगर आपके पास पूर्ण स्रोत कोड तक पहुंच है, तो यह प्रक्रिया को काफी आसान बना देता है।"

जब तक कंप्यूटर मौजूद हैं, हैकर्स सुरक्षा कमजोरियों का पता लगा रहे हैं और उनका फायदा उठा रहे हैं, लेकिन इसमें समय और मेहनत लगती है। इस स्थिति में, सैमसंग के सोर्स कोड को एक रोड मैप या ब्लूप्रिंट के रूप में इस्तेमाल किया जा सकता है, जो पहले स्थान पर कमजोरियों की खोज करने की आवश्यकता को समाप्त करता है।

"कोई भी स्रोत कोड जो उपकरणों को संचालित करने या उपकरणों पर प्रमाणीकरण सेवाओं के रूप में काम करने के लिए उपयोग किया जाता है, एक गंभीर समस्या है समस्या," दास सहमत हैं, "कोड का उपयोग वैकल्पिक पथ तैयार करने, डेटा कैप्चर करने के लिए बाध्य करने, या सुरक्षा को ओवरराइड करने के लिए किया जा सकता है। नियंत्रण। कोड सुरक्षा नियंत्रण के लिए एक विश्लेषण ढांचे के रूप में भी काम कर सकता है जिसे फिर ओवरराइड किया जा सकता है।"

बूटलोडर चिंताएं

यदि बूटलोडर स्रोत कोड से भी समझौता किया गया था, जैसा कि हैकिंग समूह का दावा है, तो यह एक महत्वपूर्ण सुरक्षा जोखिम पैदा कर सकता है। पहले बताए गए सिस्टम सोर्स कोड के विपरीत, बूटलोडर है जैसे शहर की चाबी रखना। यह हार्डवेयर के एक टुकड़े को बूट करने के लिए आवश्यक प्रोग्राम है - एप्लिकेशन, ऑपरेटिंग सिस्टम - इसे सभी को बूट करने की आवश्यकता है, और यह बूटलोडर का प्राथमिक कार्य है।

यदि कोई दुर्भावनापूर्ण पार्टी डिवाइस के बूटलोडर का फायदा उठाने में सक्षम थी, तो मूल रूप से पूरे सिस्टम पर उनका स्वतंत्र शासन होगा-बशर्ते उनके पास उपकरण और जानकारी हो। विशेषज्ञ इस बात से सहमत हैं कि, 190GB सैमसंग का चुराया हुआ डेटा किसी के द्वारा भी डाउनलोड करने के लिए उपलब्ध है, यह चिंता का कारण है।

कंप्यूटर स्क्रीन पर क्लोजअप जिसमें 'अपडेट सॉफ़्टवेयर' नामक विकल्प होता है। — LPETTET / गेट्टी छवियां

"एक बूटलोडर हमला विशेष रूप से चिंताजनक है क्योंकि यह हमलावर को ऑपरेटिंग सिस्टम स्तर से नीचे डिवाइस में प्रवेश करने की अनुमति देता है, जिसका अर्थ है कि हैकर कर सकता है डिवाइस पर सभी सुरक्षा को बायपास करें," कॉन्टोस ने कहा, "बूटलोडर हमले का उपयोग उपयोगकर्ता के क्रेडेंशियल्स को चुराने और संभावित रूप से बायपास डिवाइस के लिए भी किया जा सकता है। कूटलेखन।"

दुर्भाग्य से, क्योंकि समझौता की गई जानकारी का उपयोग हैकर्स को गैलेक्सी उपकरणों पर हमला करने के नए तरीके खोजने में मदद करने के लिए किया जा सकता है, हम उपयोगकर्ता स्तर पर बहुत कुछ नहीं कर सकते हैं। सुरक्षा अद्यतनों के साथ जितना हो सके वर्तमान रहने का प्रयास करें, और ऑनलाइन अनावश्यक जोखिम लेने से बचें। संदिग्ध ईमेल अटैचमेंट से सावधान रहें, आपके द्वारा डाउनलोड किए जाने वाले ऐप्स पर पूरा ध्यान दें (और अनुमतियों की सूची का निरीक्षण करें), इत्यादि।

"इसका समाधान सैमसंग के हाथ में है," दास ने समझाया, "उन्हें एक पैच या पैच जारी करना होगा जो किसी भी ज्ञात या संभावित कमजोरियों को संबोधित करता है।"

कॉन्टोस ने कहा, "सैमसंग को अपने स्वयं के सुरक्षा विश्लेषण और अपने कोड की समीक्षा करनी चाहिए, ताकि पहले इन समस्याओं का पता लगाने की कोशिश की जा सके।" यह सुनिश्चित करके कि यह एक प्रसिद्ध और विश्वसनीय ऐप है, अपने फ़ोन पर ऐप्स इंस्टॉल करते समय अतिरिक्त सावधानी बरतनी चाहिए, और इसके लिए बहुत अधिक अनुमतियों की आवश्यकता नहीं है फ़ोन। उन्हें अपने फोन को लावारिस छोड़ने के बारे में भी बहुत सावधान रहना चाहिए, खासकर अगर वे अमेरिका से बाहर यात्रा करते हैं। यह सच है, भले ही डिवाइस पासवर्ड- या बायोमेट्रिक-संरक्षित हो।"