گوگل نے متعدد سمارٹ فون مینوفیکچررز کے سرٹیفکیٹس کے استعمال کے بارے میں معلومات کا انکشاف کیا ہے تاکہ ڈیجیٹل طور پر بدنیتی پر مبنی ایپلی کیشنز کو سائن کیا جاسکے۔ ڈیجیٹل دستخط بنانے کے لیے، پلیٹ فارم سرٹیفکیٹ استعمال کیے گئے، جنہیں مینوفیکچررز اینڈرائیڈ سسٹم کی مرکزی تصاویر میں شامل مراعات یافتہ ایپلی کیشنز کی تصدیق کے لیے استعمال کرتے ہیں۔ جن مینوفیکچررز کے سرٹیفکیٹ نقصان دہ ایپلی کیشنز کے دستخطوں سے منسلک ہیں ان میں Samsung، LG اور Mediatek شامل ہیں۔ سرٹیفکیٹ لیک ہونے کے ماخذ کا ابھی تک پتہ نہیں چل سکا ہے۔
پلیٹ فارم سرٹیفکیٹ "android" سسٹم ایپلیکیشن پر بھی دستخط کرتا ہے، جو یوزر آئی ڈی کے تحت سب سے زیادہ مراعات (android.uid.system) کے ساتھ چلتا ہے اور اس کے پاس صارف کے ڈیٹا سمیت سسٹم تک رسائی کے حقوق ہیں۔ ایک ہی سرٹیفکیٹ کے ساتھ ایک بدنیتی پر مبنی ایپلیکیشن کی توثیق کرنے سے صارف کی طرف سے کوئی تصدیق حاصل کیے بغیر اسے ایک ہی صارف ID اور سسٹم تک رسائی کی ایک ہی سطح کے ساتھ عمل میں لایا جا سکتا ہے۔
پلیٹ فارم سرٹیفکیٹس کے ساتھ دستخط شدہ نقصاندہ ایپلی کیشنز میں معلومات کو روکنے اور سسٹم میں اضافی بیرونی نقصان دہ اجزاء کو انسٹال کرنے کا کوڈ موجود تھا۔ گوگل کے مطابق، گوگل پلے سٹور کیٹلاگ میں زیر بحث بدنیتی پر مبنی ایپلی کیشنز کی اشاعت کے کسی نشان کی نشاندہی نہیں کی گئی ہے۔ صارفین کو مزید تحفظ دینے کے لیے، Google Play Protect اور Build Test Suite، جو سسٹم کی تصاویر کو اسکین کرنے کے لیے استعمال ہوتا ہے، نے پہلے ہی اس طرح کی بدنیتی پر مبنی ایپلی کیشنز کا پتہ لگانے کا اضافہ کر دیا ہے۔
سمجھوتہ شدہ سرٹیفکیٹس کے استعمال کو روکنے کے لیے، مینوفیکچرر نے پلیٹ فارم سرٹیفکیٹس کو ان کے لیے نئی عوامی اور نجی کلیدیں بنا کر تبدیل کرنے کی تجویز پیش کی۔ مینوفیکچررز کو لیک کے ذریعہ کی نشاندہی کرنے کے لیے اندرونی تحقیقات کرنے اور مستقبل میں ایسے ہی واقعات کو روکنے کے لیے اقدامات کرنے کی بھی ضرورت ہے۔ مستقبل میں بار بار لیک ہونے کی صورت میں سرٹیفکیٹس کی گردش کو آسان بنانے کے لیے پلیٹ فارم سرٹیفکیٹ کا استعمال کرتے ہوئے دستخط شدہ سسٹم ایپلی کیشنز کی تعداد کو کم کرنے کی بھی سفارش کی جاتی ہے۔
ماخذ: opennet.ru