অ্যান্ড্রয়েড নিরাপত্তা পরামর্শ — 2016-03-18

18 মার্চ, 2016 প্রকাশিত

Android নিরাপত্তা পরামর্শ Nexus নিরাপত্তা বুলেটিনগুলির পরিপূরক। নিরাপত্তা পরামর্শ সম্পর্কে আরও তথ্যের জন্য আমাদের সারাংশ পৃষ্ঠা পড়ুন।

সারসংক্ষেপ

Google কিছু অ্যান্ড্রয়েড ডিভাইসে ( CVE-2015-1805 ) কার্নেলে বিশেষাধিকার দুর্বলতার একটি আনপ্যাচড স্থানীয় উচ্চতা ব্যবহার করে একটি রুটিং অ্যাপ্লিকেশন সম্পর্কে সচেতন হয়েছে৷ এই অ্যাপ্লিকেশনটি একটি ডিভাইসকে প্রভাবিত করার জন্য, ব্যবহারকারীকে প্রথমে এটি ইনস্টল করতে হবে৷ Google ইতিমধ্যেই রুট করা অ্যাপ্লিকেশনগুলির ইনস্টলেশন ব্লক করে যা এই দুর্বলতা ব্যবহার করে — Google Play-এর মধ্যে এবং Google Play-এর বাইরেও — যাচাই অ্যাপ ব্যবহার করে, এবং এই নির্দিষ্ট দুর্বলতা ব্যবহার করে এমন অ্যাপ্লিকেশানগুলি সনাক্ত করতে আমাদের সিস্টেম আপডেট করেছে৷

এই ইস্যুটির জন্য প্রতিরক্ষার একটি চূড়ান্ত স্তর প্রদান করতে, অংশীদারদের 16 মার্চ, 2016-এ এই সমস্যার জন্য একটি প্যাচ প্রদান করা হয়েছিল৷ Nexus আপডেটগুলি তৈরি করা হচ্ছে এবং কয়েক দিনের মধ্যে প্রকাশ করা হবে৷ এই সমস্যার জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে।

পটভূমি

এটি আপস্ট্রিম লিনাক্স কার্নেলের একটি পরিচিত সমস্যা যা এপ্রিল 2014 এ সংশোধন করা হয়েছিল কিন্তু নিরাপত্তা সমাধান হিসাবে বলা হয়নি এবং 2 ফেব্রুয়ারি, 2015 পর্যন্ত CVE-2015-1805 বরাদ্দ করা হয়েছিল৷ 19 ফেব্রুয়ারি, 2016-এ, C0RE টিম Google কে জানিয়েছিল যে সমস্যাটি অ্যান্ড্রয়েডে শোষণ করা যেতে পারে এবং একটি আসন্ন নিয়মিত নির্ধারিত মাসিক আপডেটে অন্তর্ভুক্ত করার জন্য একটি প্যাচ তৈরি করা হয়েছিল।

15 মার্চ, 2016-এ Google জিম্পেরিয়াম থেকে একটি রিপোর্ট পেয়েছে যে এই দুর্বলতাটি একটি Nexus 5 ডিভাইসে অপব্যবহার করা হয়েছে৷ Google একটি সর্বজনীনভাবে উপলব্ধ রুটিং অ্যাপ্লিকেশনের অস্তিত্ব নিশ্চিত করেছে যা ডিভাইস ব্যবহারকারীকে রুট সুবিধা প্রদান করতে Nexus 5 এবং Nexus 6-এ এই দুর্বলতার অপব্যবহার করে।

স্থানীয় বিশেষাধিকার বৃদ্ধি এবং স্বেচ্ছাচারী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর গুরুতর সমস্যা হিসাবে রেট করা হয়েছে যা স্থানীয় স্থায়ী ডিভাইস আপসের দিকে পরিচালিত করে।

ব্যাপ্তি

এই পরামর্শটি সমস্ত Nexus ডিভাইস সহ কার্নেল সংস্করণ 3.4, 3.10 এবং 3.14-এ সমস্ত আনপ্যাচ করা Android ডিভাইসগুলিতে প্রযোজ্য৷ Linux কার্নেল সংস্করণ 3.18 বা উচ্চতর ব্যবহার করা Android ডিভাইসগুলি দুর্বল নয়।

প্রশমন

নিম্নলিখিতগুলি প্রশমিত করা হয়েছে যা ব্যবহারকারীদের এই সমস্যা দ্বারা প্রভাবিত হওয়ার সম্ভাবনা হ্রাস করে:

  • আমরা যে অ্যাপ্লিকেশনগুলিকে Google Play-এর ভিতরে এবং বাইরে উভয় ক্ষেত্রেই এই দুর্বলতাকে কাজে লাগানোর চেষ্টা করছে তা আমরা শিখেছি যে অ্যাপ্লিকেশনগুলির ইনস্টলেশন ব্লক করার জন্য অ্যাপগুলিকে যাচাই করা আপডেট করা হয়েছে৷
  • Google Play রুট করার অ্যাপ্লিকেশনগুলিকে অনুমতি দেয় না, যেমন এই সমস্যাটি কাজে লাগাতে চাইছে৷
  • Linux কার্নেল সংস্করণ 3.18 বা উচ্চতর ব্যবহার করা Android ডিভাইসগুলি দুর্বল নয়।

স্বীকৃতি

Android এই পরামর্শে তাদের অবদানের জন্য C0RE টিম এবং Zimperium কে ধন্যবাদ জানাতে চাই।

প্রস্তাবিত কর্ম

অ্যান্ড্রয়েড সমস্ত ব্যবহারকারীকে তাদের ডিভাইসে আপডেট গ্রহণ করতে উত্সাহিত করে যখন তারা উপলব্ধ থাকে৷

সংশোধন করে

Google একাধিক কার্নেল সংস্করণের জন্য AOSP সংগ্রহস্থলে একটি ফিক্স প্রকাশ করেছে। অ্যান্ড্রয়েড অংশীদারদের এই সংশোধনগুলি সম্পর্কে অবহিত করা হয়েছে এবং তাদের প্রয়োগ করতে উত্সাহিত করা হয়েছে৷ আরও আপডেটের প্রয়োজন হলে, Android এগুলি সরাসরি AOSP-এ প্রকাশ করবে৷

কার্নেল সংস্করণ প্যাচ
3.4 AOSP প্যাচ
3.10 AOSP প্যাচ
3.14 AOSP প্যাচ
3.18+ পাবলিক লিনাক্স কার্নেলে প্যাচ করা হয়েছে

সাধারণ প্রশ্ন ও উত্তর

1. সমস্যা কি?

কার্নেলে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। একটি স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে৷

2. কিভাবে একজন আক্রমণকারী এই সমস্যাটি কাজে লাগাতে চাইবে?

এই সমস্যাটি কাজে লাগাতে চায় এমন একটি অ্যাপ্লিকেশন ইনস্টল করা ব্যবহারকারীরা ঝুঁকির মধ্যে রয়েছে৷ রুট করা অ্যাপ্লিকেশানগুলি (যেমন এই সমস্যাটি ব্যবহার করছে) Google Play-তে নিষিদ্ধ, এবং Google Verify Apps-এর মাধ্যমে Google Play-এর বাইরে এই অ্যাপ্লিকেশনটির ইনস্টলেশন ব্লক করছে৷ একজন আক্রমণকারীকে একজন ব্যবহারকারীকে ম্যানুয়ালি একটি প্রভাবিত অ্যাপ্লিকেশন ইনস্টল করতে রাজি করাতে হবে।

3. কোন ডিভাইস প্রভাবিত হতে পারে?

গুগল নিশ্চিত করেছে যে এই শোষণ নেক্সাস 5 এবং 6 এ কাজ করে; তবে অ্যান্ড্রয়েডের সমস্ত আনপ্যাচড সংস্করণে দুর্বলতা রয়েছে।

4. Google কি এই দুর্বলতার অপব্যবহারের প্রমাণ দেখেছে?

হ্যাঁ, Google একটি সর্বজনীনভাবে উপলব্ধ রুটিং টুল ব্যবহার করে Nexus 5-এ এই দুর্বলতার অপব্যবহারের প্রমাণ দেখেছে। Google এমন কোনো শোষণ লক্ষ্য করেনি যাকে "দূষিত" হিসেবে শ্রেণীবদ্ধ করা হবে।

5. আপনি কিভাবে এই সমস্যা সমাধান করা হবে?

Google Play এই সমস্যাটিকে কাজে লাগানোর চেষ্টা করে এমন অ্যাপগুলিকে নিষিদ্ধ করে৷ একইভাবে, ভেরিফাই অ্যাপ্লিকেশানগুলি এই সমস্যাটিকে কাজে লাগানোর চেষ্টা করে এমন Google Play-এর বাইরে থেকে অ্যাপ্লিকেশানগুলির ইনস্টলেশনকে ব্লক করে৷ একটি আপডেট প্রস্তুত হওয়ার সাথে সাথে Google Nexus ডিভাইসগুলিও প্যাচ করা হবে এবং আমরা Android অংশীদারদের জানিয়েছি যাতে তারা অনুরূপ আপডেটগুলি প্রকাশ করতে পারে৷

6. আমার কাছে এই সমস্যার সমাধান আছে এমন একটি ডিভাইস আছে কিনা তা আমি কীভাবে জানব?

অ্যান্ড্রয়েড আমাদের অংশীদারদের দুটি বিকল্প প্রদান করেছে যাতে যোগাযোগ করা যায় যে তাদের ডিভাইসগুলি এই সমস্যার জন্য ঝুঁকিপূর্ণ নয়৷ 18 মার্চ, 2016 এর নিরাপত্তা প্যাচ স্তর সহ Android ডিভাইসগুলি দুর্বল নয়৷ 2 এপ্রিল, 2016 এবং তারপরের নিরাপত্তা প্যাচ লেভেল সহ Android ডিভাইসগুলি এই সমস্যার জন্য ঝুঁকিপূর্ণ নয়৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে নির্দেশাবলীর জন্য এই নিবন্ধটি পড়ুন.

রিভিশন

  • মার্চ 18, 2016: উপদেষ্টা প্রকাশিত।