हमारा सुझाव है कि 27 मार्च, 2025 से AOSP को बनाने और उसमें योगदान देने के लिए, aosp-main के बजाय android-latest-release का इस्तेमाल करें. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव लेख पढ़ें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

Nexus सुरक्षा बुलेटिन - सितंबर 2015
संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

पब्लिश करने की तारीख: 9 सितंबर, 2015

हमने Nexus डिवाइसों के लिए, ओवर-द-एयर (ओटीए) अपडेट के ज़रिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. यह अपडेट, Android सुरक्षा बुलेटिन की हर महीने रिलीज़ होने वाली प्रोसेस (बिल्ड LMY48M) का हिस्सा है. Nexus डिवाइसों के लिए अपडेट और इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के सोर्स रिपॉज़िटरी में भी रिलीज़ किए गए हैं. इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, जिस डिवाइस पर इसका असर पड़ा है उस पर रिमोट कोड प्रोग्राम चलाया जा सकता है.

Nexus फ़र्मवेयर इमेज, Google डेवलपर साइट पर भी रिलीज़ की गई हैं. LMY48M या इसके बाद के वर्शन में, इन समस्याओं को ठीक किया गया है. पार्टनर को इन समस्याओं के बारे में 13 अगस्त, 2015 या उससे पहले सूचना दी गई थी.

हमें हाल ही में रिपोर्ट की गई समस्याओं से, ग्राहकों का शोषण होने का पता नहीं चला है. हालांकि, मौजूदा समस्या (CVE-2015-3636) को अपवाद माना गया है. Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा उपायों और SafetyNet जैसी सेवाओं की सुरक्षा के बारे में ज़्यादा जानने के लिए,कम करने के तरीके सेक्शन देखें. इससे, Android पर सुरक्षा से जुड़ी कमज़ोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

कृपया ध्यान दें कि सुरक्षा से जुड़े अहम अपडेट (CVE-2015-3864 और CVE-2015-3686), पहले से बताई गई सुरक्षा से जुड़ी समस्याओं को ठीक करते हैं. इस अपडेट में, सुरक्षा से जुड़ी कोई नई और गंभीर समस्या नहीं है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.

हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.

जोखिम कम करने के तरीके

यहां Android सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवा सुरक्षा से जुड़े उन उपायों के बारे में खास जानकारी दी गई है जिनकी मदद से, इस तरह के खतरों को कम किया जा सकता है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
Android की सुरक्षा टीम, ऐप्लिकेशन की पुष्टि करने की सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रख रही है. इससे, इंस्टॉल किए जाने वाले संभावित रूप से नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी मिलेगी. Google Play पर, डिवाइस को रूट करने वाले टूल उपलब्ध नहीं कराए जा सकते. Google Play के अलावा किसी अन्य सोर्स से ऐप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं को सुरक्षित रखने के लिए, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, उपयोगकर्ताओं को रूट करने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Verify ऐप्लिकेशन, ऐसे नुकसान पहुंचाने वाले ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करता है जो ऐक्सेस लेवल बढ़ाने की सुविधा का गलत इस्तेमाल करते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और ऐसे सभी ऐप्लिकेशन को हटाने की कोशिश करेगी.
Google Hangouts और Messenger ऐप्लिकेशन, मीडिया को mediaserver जैसी प्रोसेस को अपने-आप पास नहीं करते.

आभार

हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:

Exodus Intelligence के जॉर्डन ग्रुस्कोव्नैक (@jgrusko): CVE-2015-3864
Michał Bednarski: CVE-2015-3845
Qihoo 360 Technology Co. Ltd (@oldfresher) के गुआंग गोंग: CVE-2015-1528, CVE-2015-3849
ब्रेनन लॉटर: CVE-2015-3863
jgor (@indiecom): CVE-2015-3860
Trend Micro Inc. के Wish Wu (@wish_wu): CVE-2015-3861

सुरक्षा से जुड़े जोखिम की जानकारी

यहां दिए गए सेक्शन में, हम इस सूचना में बताई गई सुरक्षा से जुड़ी हर कमजोरी के बारे में जानकारी देते हैं. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और सीवीई, उससे जुड़ी गड़बड़ी, गंभीरता, जिन वर्शन पर असर पड़ा है, और शिकायत करने की तारीख वाली टेबल शामिल होती है. जहां उपलब्ध हो, हमने उस AOSP बदलाव को बग आईडी से लिंक किया है जिसकी वजह से समस्या हल हुई है. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से, AOSP के अन्य रेफ़रंस जुड़े होते हैं.

Mediaserver में रिमोट कोड लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या

खास तौर पर तैयार की गई मीडिया फ़ाइल और डेटा को प्रोसेस करने के दौरान, मीडिया सर्वर में मौजूद कमजोरियों की वजह से, हैकर को मेमोरी को नुकसान पहुंचाने और रिमोट कोड प्रोग्राम चलाने का मौका मिल सकता है.

जिस फ़ंक्शन पर असर पड़ा है उसे ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध कराया जाता है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट के ज़रिए उस फ़ंक्शन को ऐक्सेस किया जा सकता है. इनमें मल्टीमीडिया मैसेज (एमएमएस) और ब्राउज़र से मीडिया चलाने की सुविधा सबसे अहम है.

मीडिया सर्वर सेवा के संदर्भ में, रिमोट कोड को चलाने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेटिंग दी गई है. मीडिया सर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.

यह समस्या, पहले से रिपोर्ट की गई CVE-2015-3824 (ANDROID-20923261) से जुड़ी है. ओरिजनल सुरक्षा अपडेट, इस समस्या के किसी वैरिएंट को ठीक करने के लिए काफ़ी नहीं था.

CVE	AOSP लिंक से जुड़ी गड़बड़ी	गंभीरता	जिन वर्शन पर असर पड़ा
CVE-2015-3864	ANDROID-23034759	सबसे अहम	5.1 और इससे पहले के वर्शन

कर्नेल में खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम

Linux kernel में, पिंग सोकेट को मैनेज करने के दौरान, ऐक्सेस लेवल बढ़ाने की जोखिम वाली गड़बड़ी की वजह से, नुकसान पहुंचाने वाले ऐप्लिकेशन को kernel के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.

इस समस्या को गंभीर माना गया है, क्योंकि यह किसी ऐसी सेवा में कोड को चलाने की संभावना पैदा करती है जो डिवाइस की सुरक्षा को बायपास कर सकती है.इससे कुछ डिवाइसों पर, हमेशा के लिए नुकसान हो सकता है. जैसे, सिस्टम के partition को फिर से फ़्लैश करना पड़ सकता है.

इस समस्या का पहली बार सार्वजनिक तौर पर पता 01 मई, 2015 को चला था. इस कमज़ोरी का फ़ायदा उठाने के लिए, कई “रूटिंग” टूल बनाए गए हैं. डिवाइस के मालिक इनका इस्तेमाल, अपने डिवाइस के फ़र्मवेयर में बदलाव करने के लिए कर सकते हैं.

CVE	AOSP लिंक से जुड़ी गड़बड़ियां	गंभीरता	जिन वर्शन पर असर पड़ा
CVE-2015-3636	ANDROID-20770158	सबसे अहम	5.1 और इससे पहले के वर्शन

Binder में प्रिविलेज एस्केलेशन की समस्या

Binder में, ऐक्सेस लेवल बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले ऐप्लिकेशन को किसी दूसरे ऐप्लिकेशन की प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.

इस समस्या को गंभीर समस्या के तौर पर रेटिंग दी गई है, क्योंकि इससे नुकसान पहुंचाने वाले ऐप्लिकेशन को ऐसी अनुमतियां मिल सकती हैं जो तीसरे पक्ष के ऐप्लिकेशन के पास नहीं होतीं.

CVE	AOSP लिंक से जुड़ी गड़बड़ियां	गंभीरता	जिन वर्शन पर असर पड़ा
CVE-2015-3845	ANDROID-17312693	ज़्यादा	5.1 और इससे पहले के वर्शन
CVE-2015-1528	ANDROID-19334482 [2]	ज़्यादा	5.1 और इससे पहले के वर्शन

कीस्टोर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना

Keystore में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले ऐप्लिकेशन को Keystore सेवा के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इससे, Keystore में सेव की गई कुंजियों का बिना अनुमति के इस्तेमाल किया जा सकता है. इसमें हार्डवेयर की मदद से सुरक्षित की गई कुंजियां भी शामिल हैं.

इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उन विशेषाधिकारों को हासिल करने के लिए किया जा सकता है जो तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.

CVE	AOSP लिंक से जुड़ी गड़बड़ियां	गंभीरता	जिन वर्शन पर असर पड़ा
CVE-2015-3863	ANDROID-22802399	ज़्यादा	5.1 और इससे पहले के वर्शन

इलाके में खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना

किसी सेवा के लिए नुकसान पहुंचाने वाला मैसेज बनाकर, क्षेत्र में विशेषाधिकार बढ़ाने की जोखिम की वजह से, नुकसान पहुंचाने वाले ऐप्लिकेशन को टारगेट की गई सेवा के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.

CVE	AOSP लिंक से जुड़ी गड़बड़ियां	गंभीरता	जिन वर्शन पर असर पड़ा
CVE-2015-3849	ANDROID-20883006 [2]	ज़्यादा	5.1 और इससे पहले के वर्शन

एसएमएस में खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, सूचना को बायपास किया जा सकता है

Android, एसएमएस मैसेज को जिस तरह प्रोसेस करता है उसमें, ऐक्सेस लेवल की बढ़ोतरी की समस्या मौजूद है. इसकी वजह से, नुकसान पहुंचाने वाले ऐप्लिकेशन को ऐसा एसएमएस मैसेज भेजने में मदद मिल सकती है जो प्रीमियम दर वाले एसएमएस की चेतावनी वाली सूचना को बायपास कर सके.

इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उन विशेषाधिकारों को पाने के लिए किया जा सकता है जो तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.

CVE	AOSP लिंक से जुड़ी गड़बड़ियां	गंभीरता	जिन वर्शन पर असर पड़ा
CVE-2015-3858	ANDROID-22314646	ज़्यादा	5.1 और इससे पहले के वर्शन

लॉकस्क्रीन में खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका

लॉकस्क्रीन में प्रिविलेज एस्कलेशन की समस्या की वजह से, नुकसान पहुंचाने वाला कोई व्यक्ति लॉकस्क्रीन को क्रैश करके उसे बायपास कर सकता है. इस समस्या को सिर्फ़ Android 5.0 और 5.1 पर, जोखिम के तौर पर वर्गीकृत किया गया है. Android 4.4 पर भी, लॉकस्क्रीन से सिस्टम यूज़र इंटरफ़ेस (यूआई) क्रैश हो सकता है. हालांकि, इस स्थिति में होम स्क्रीन को ऐक्सेस नहीं किया जा सकता. साथ ही, डिवाइस को ठीक करने के लिए उसे रीबूट करना होगा.

इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इससे डिवाइस का ऐक्सेस रखने वाला कोई व्यक्ति, डिवाइस के मालिक की अनुमति के बिना तीसरे पक्ष के ऐप्लिकेशन इंस्टॉल कर सकता है. इससे, हमलावर को संपर्क डेटा, फ़ोन लॉग, एसएमएस मैसेज, और अन्य डेटा देखने की अनुमति भी मिल सकती है. आम तौर पर, इस डेटा को "खतरनाक" लेवल की अनुमति से सुरक्षित किया जाता है.

CVE	AOSP लिंक से जुड़ी गड़बड़ियां	गंभीरता	जिन वर्शन पर असर पड़ा
CVE-2015-3860	ANDROID-22214934	काफ़ी हद तक ठीक है	5.1 और 5.0

Mediaserver में सेवा में रुकावट की समस्या

mediaserver में, सेवा अस्वीकार करने से जुड़ी जोखिम की वजह से, कोई स्थानीय हमलावर, इससे प्रभावित डिवाइस के ऐक्सेस को कुछ समय के लिए ब्लॉक कर सकता है.

इस समस्या को कम गंभीरता वाली समस्या के तौर पर रेट किया गया है, क्योंकि इस समस्या का फ़ायदा उठाने वाले नुकसान पहुंचाने वाले ऐप्लिकेशन को हटाने के लिए, उपयोगकर्ता सुरक्षित मोड में रीबूट कर सकता है. यह भी हो सकता है कि मीडिया सर्वर, वेब या एमएमएस के ज़रिए, मैलवेयर वाली फ़ाइल को रिमोट तौर पर प्रोसेस करे. इस मामले में, मीडिया सर्वर की प्रोसेस क्रैश हो जाती है और डिवाइस का इस्तेमाल किया जा सकता है.

CVE	AOSP लिंक से जुड़ी गड़बड़ियां	गंभीरता	जिन वर्शन पर असर पड़ा
CVE-2015-3861	ANDROID-21296336	कम	5.1 और इससे पहले के वर्शन