मुख्य तथ्य
- चोरी किए गए गैलेक्सी डिवाइस स्रोत कोड का उपयोग हैकर्स के लिए सुरक्षा खामियों और कमजोरियों का पता लगाने के आसान तरीके के रूप में किया जा सकता है।
- यदि हमलावरों ने बूटलोडर स्रोत कोड भी लिया, तो वे उपकरणों तक सिस्टम-स्तरीय पहुंच प्राप्त कर सकते थे।
- ग्राहक जो सबसे अच्छी चीज कर सकते हैं, वह है सुरक्षा अपडेट के शीर्ष पर रहना और नए ऐप्स इंस्टॉल करते समय या URL का अनुसरण करते समय बहुत सतर्क रहना।
सैमसंग ने कहा है कि हालिया हैक, जिसके परिणामस्वरूप गैलेक्सी उपकरणों के लिए स्रोत कोड चोरी हो गया, चिंता की कोई बात नहीं है-लेकिन कुछ विशेषज्ञों का मानना है कि चिंता करना आवश्यक है।
जबकि सैमसंग ने आश्वासन दिया कि न तो ग्राहक और न ही कर्मचारी की व्यक्तिगत जानकारी से समझौता किया गया है, हैकर्स के लिए यह केवल एक संभावित तरीका है। जो डेटा लिया गया था, जिसमें हैकर्स के दावे में बायोमेट्रिक प्रमाणीकरण एल्गोरिदम और बूटलोडर स्रोत कोड शामिल हैं, अभी भी हानिकारक तरीकों से उपयोग किया जा सकता है।
एन्क्रिप्शन-आधारित डेटा सुरक्षा समाधान कंपनी सोटेरो के सीईओ और सह-संस्थापक पुरंदर दास ने एक ईमेल में कहा, "अधिकांश हाई-प्रोफाइल उल्लंघनों के परिणामस्वरूप व्यक्तिगत डेटा का नुकसान हुआ है, जिसमें व्यक्तियों को प्रभावित करने की क्षमता है।" लाइफवायर के लिए, "एक आधार रेखा स्थापित करना कि व्यक्तिगत डेटा खो नहीं गया था, एक प्रतिवर्त प्रतिक्रिया से अधिक है और वास्तव में किसी भी डेटा उल्लंघन की प्रतिकूल क्षमता का संकेत नहीं है।"
दरारें ढूँढना
गैलेक्सी डिवाइस सोर्स कोड लीक के बारे में सुरक्षा विशेषज्ञों की एक बड़ी चिंता यह है कि उस कोड का उपयोग किस लिए किया जा सकता है। दी, यह सैमसंग उपकरणों के लौकिक शहर की कुंजी नहीं है; हैकर्स महत्वपूर्ण सिस्टम या उसके जैसा कुछ भी तुरंत समझौता करने में सक्षम नहीं होंगे।लेकिन वे डेटा का उपयोग उन कमजोरियों को खोजने के लिए कर सकते हैं जिन्हें अभी तक खोजा नहीं जा सका है, फिर उनका फायदा उठाने के तरीकों का पता लगाएं।
उपयोगकर्ताओं को यह सुनिश्चित करके अपने फ़ोन में ऐप्स इंस्टॉल करते समय अतिरिक्त सावधानी बरतनी चाहिए कि यह एक प्रसिद्ध और विश्वसनीय ऐप है, और इसके लिए फ़ोन पर बहुत अधिक अनुमतियों की आवश्यकता नहीं है।
"जबकि हर सॉफ्टवेयर प्रोग्राम और हर डिवाइस में कुछ कमजोरियां होती हैं, इन बगों को खोजने की प्रक्रिया बेहद समय लेने वाली और कठिन हो सकती है," 25 वर्षीय साइबर सुरक्षा अनुभवी और फॉस्फोरस साइबर सुरक्षा के मुख्य सुरक्षा अधिकारी ब्रायन कोंटोस ने कहा, लाइफवायर को एक ईमेल में। "लेकिन अगर आपके पास पूर्ण स्रोत कोड तक पहुंच है, तो यह प्रक्रिया को काफी आसान बना देता है।"
हैकर्स तब तक सुरक्षा कमजोरियों का पता लगा रहे हैं और उनका फायदा उठा रहे हैं, जब तक कंप्यूटर मौजूद हैं, लेकिन इसमें समय और मेहनत लगती है। इस स्थिति में, सैमसंग के सोर्स कोड को एक रोड मैप या ब्लूप्रिंट के रूप में इस्तेमाल किया जा सकता है, जो पहले स्थान पर कमजोरियों की खोज करने की आवश्यकता को समाप्त करता है।
"कोई भी स्रोत कोड जो उपकरणों को संचालित करने के लिए उपयोग किया जाता है या उपकरणों पर प्रमाणीकरण सेवाओं के रूप में काम करता है, एक गंभीर समस्या है," दास सहमत हैं, "कोड का उपयोग वैकल्पिक पथ तैयार करने, डेटा कैप्चर करने या ओवरराइड करने के लिए किया जा सकता है। सुरक्षा नियंत्रण। कोड सुरक्षा नियंत्रण के लिए एक विश्लेषण ढांचे के रूप में भी काम कर सकता है जिसे तब ओवरराइड किया जा सकता है।"
बूटलोडर की चिंता
अगर बूटलोडर सोर्स कोड से भी समझौता किया गया था, जैसा कि हैकिंग समूह का दावा है, तो इससे काफी सुरक्षा जोखिम पैदा हो सकता है। पहले बताए गए सिस्टम सोर्स कोड के विपरीत, बूटलोडर है जैसे शहर की चाबियां रखना। यह हार्डवेयर-अनुप्रयोगों के एक टुकड़े को बूट करने के लिए आवश्यक प्रोग्राम है, ऑपरेटिंग सिस्टम-इसे बूट करने की आवश्यकता है, और यह बूटलोडर का प्राथमिक कार्य है।
यदि कोई दुर्भावनापूर्ण पार्टी डिवाइस के बूटलोडर का फायदा उठाने में सक्षम होती है, तो मूल रूप से पूरे सिस्टम पर उनका स्वतंत्र शासन होगा-बशर्ते उनके पास उपकरण और जानकारी हो।विशेषज्ञ इस बात से सहमत हैं कि, सैमसंग का 190GB चोरी का डेटा किसी के द्वारा भी डाउनलोड करने के लिए उपलब्ध है, यह चिंता का कारण है।
"एक बूटलोडर हमला विशेष रूप से चिंताजनक है क्योंकि यह हमलावर को ऑपरेटिंग सिस्टम स्तर से नीचे डिवाइस में प्रवेश करने की अनुमति देता है, जिसका अर्थ है कि हैकर डिवाइस पर सभी सुरक्षा को बायपास कर सकता है," कॉन्टोस ने कहा, "एक बूटलोडर हमला कर सकता है उपयोगकर्ता के क्रेडेंशियल्स को चुराने और डिवाइस एन्क्रिप्शन को संभावित रूप से बायपास करने के लिए भी इस्तेमाल किया जा सकता है।"
दुर्भाग्य से, क्योंकि समझौता की गई जानकारी का उपयोग हैकर्स को गैलेक्सी उपकरणों पर हमला करने के नए तरीके खोजने में मदद करने के लिए किया जा सकता है, हम उपयोगकर्ता स्तर पर बहुत कुछ नहीं कर सकते हैं। सुरक्षा अद्यतनों के साथ जितना हो सके वर्तमान रहने का प्रयास करें, और ऑनलाइन अनावश्यक जोखिम लेने से बचें। संदिग्ध ईमेल अटैचमेंट से सावधान रहें, आपके द्वारा डाउनलोड किए जाने वाले ऐप्स पर ध्यान दें (और अनुमतियों की सूची का निरीक्षण करें), इत्यादि।
"इसका समाधान सैमसंग के हाथ में है," दास ने समझाया, "उन्हें एक पैच या पैच जारी करना होगा जो किसी भी ज्ञात या संभावित कमजोरियों को संबोधित करता है।"
"सैमसंग को अपने स्वयं के सुरक्षा विश्लेषण और अपने कोड की समीक्षा को भी तेज करना चाहिए, ताकि पहले इन समस्याओं का पता लगाने का प्रयास किया जा सके," कॉन्टोस ने कहा, "इस बीच, उपयोगकर्ताओं को अपने फोन पर ऐप्स इंस्टॉल करते समय अतिरिक्त सावधानी बरतनी चाहिए। सुनिश्चित करें कि यह एक प्रसिद्ध और विश्वसनीय ऐप है, और इसके लिए फ़ोन पर बहुत अधिक अनुमतियों की आवश्यकता नहीं है। उन्हें अपने फ़ोन को लावारिस छोड़ने के बारे में भी बहुत सावधान रहना चाहिए, खासकर यदि वे यूएस से बाहर यात्रा करते हैं। यह सच है भले ही डिवाइस पासवर्ड है- या बायोमेट्रिक-संरक्षित।"
