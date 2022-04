ആന്‍ഡ്രോയിഡ് ഉപകരണങ്ങളില്‍ പത്തു വര്‍ഷത്തോളമായി ഗുരുതരമായ ഒരു സുരക്ഷാവീഴ്ച നിലനിന്നിരുന്നു എന്ന് പുതിയ പഠനം കണ്ടെത്തി. ഇത് 2011 മുതല്‍ നിലനിന്നിരുന്നു. ഈ സുരക്ഷാവീഴ്ച ഓഡിയോ ഡീകോഡര്‍ കൊഡെകിലാണ് (Audio Decoder (codec) ആണ് കണ്ടെത്തിയത്. ഇതുവഴി ആന്‍ഡ്രോയിഡ് ഉപകരണങ്ങള്‍ ഉപയോഗിച്ചു നടത്തുന്ന കോളുകളിലേക്കും മീഡിയ ഫയലുകളിലേക്കും കടന്നുകയറാന്‍ ഹാക്കര്‍മാര്‍ക്ക് സാധിക്കുമെന്നാണ് റിപ്പോര്‍ട്ട്. 2021ല്‍ വിറ്റ മൂന്നില്‍ രണ്ട് ഉപകരണങ്ങള്‍ക്കും ഇത്തരത്തിലുള്ള ആക്രമണ ഭീഷണയുണ്ടെന്നും കണ്ടെത്തി.

∙ പ്രശ്‌നമുണ്ടെന്ന് പ്രോസസര്‍ നിര്‍മാതാക്കളും സമ്മതിച്ചു

ചെക് പോയിന്റ് എന്നറിയപ്പെടുന്ന ഗവേഷകരാണ് പുതിയ പഠനം പുറത്തിറക്കിയത്. ലോകത്തെ ഏറ്റവും വലിയ മൊബൈല്‍ ഫോണ്‍ പ്രോസസര്‍ നിര്‍മാതാക്കളായ ക്വാല്‍കം, മീഡിയാടെക് എന്നീ കമ്പനികള്‍ 'ആപ്പിള്‍ ലോസ്‌ലെസ് ഓഡിയോ കോഡെക്', എഎല്‍എസി (ALAC) ഓഡിയോ കോഡിങ് ധാരാളമായി ഉപയോഗിച്ചു എന്നാണ് അവരുടെ കണ്ടെത്തല്‍. ഇവരുടെ പ്രോസസറുകള്‍ ഉപയോഗിച്ചുള്ള ഫോണുകളും മറ്റും ധാരാളമായി വിറ്റുപോയി എന്ന കാര്യം എടുത്തു പറയേണ്ടതില്ലല്ലോ. തങ്ങളുടെ കണ്ടെത്താല്‍ ക്വാല്‍കം കമ്പനിയും മീഡിയാടെക്കും ശരിവച്ചു എന്നും ചെക്ക് പോയിന്റിന്റെ റിപ്പോര്‍ട്ടില്‍ പറയുന്നു. ഇതോടെ ദശലക്ഷക്കണക്കിന് ആന്‍ഡ്രോയിഡ് ഉപയോക്താക്കളുടെ സുരക്ഷ അവതാളത്തിലായി. എന്തായാലും ഇരു കമ്പനികളും ഇതിനെതിരെയുള്ള സോഫ്റ്റ്‌വെയര്‍ പാച്ചുകളും പുറത്തിറക്കി തുടങ്ങിയിട്ടുണ്ട്.

∙ ആപ്പിളിന്റെ റോള്‍

ആപ്പിള്‍ ലോസ്‌ലെസ് ഓഡിയോ കോഡെക് ആപ്പിള്‍ കമ്പനി സൃഷ്ടിച്ചതാണ്. ആപ്പിള്‍ ലോസ്‌ലെസ് എന്ന ചുരുക്കപ്പേരിലും ഇത് അറിയപ്പെടുന്നു. ആപ്പിള്‍ വികസിപ്പിച്ച ഈ കോഡിങ് ഫോര്‍മാറ്റ് 2004ല്‍ ആണ് ആദ്യമായി അവതരിപ്പിച്ചത്. ഡിജിറ്റല്‍ പാട്ടുകളുടെ ഗുണനിലവാരം ചോരാതെ കേള്‍ക്കാനുള്ളഒരു മാര്‍ഗമായാണ് ഇത് അവതരിപ്പിച്ചത്. ഈ കൊഡെക് ആപ്പിള്‍ 2011ല്‍ ഓപ്പണ്‍ സോഴ്‌സ് ആക്കുകയായിരുന്നു. അതിനു ശേഷം ആപ്പിളിന്റേതല്ലാത്ത ഉപകരണങ്ങളിലും പ്രോഗ്രാമുകളിലും ഇത് ഉപയോഗിച്ചു തുടങ്ങി. തുടര്‍ന്ന് ആന്‍ഡ്രോയിഡില്‍ പ്രവര്‍ത്തിക്കുന്ന സ്മാര്‍ട് ഫോണുകളും ലിനക്‌സിലും വിന്‍ഡോസിലുമുള്ള മീഡിയ പ്ലെയറുകളിലും കണ്‍വേര്‍ട്ടറുകളിലും ഇത് ഉള്‍ക്കൊള്ളിച്ചുവന്നു.

∙ ആപ്പിള്‍ അനങ്ങിയില്ല

ഇതിനു ശേഷം എല്ലാ കമ്പനികളും കൈവശമുള്ള (proprietary) വേര്‍ഷന്‍ പല തവണ അപ്‌ഡേറ്റു ചെയ്തു. അതിനുണ്ടായിരുന്ന പല പ്രശ്‌നങ്ങളും പലതവണ പാച്ചുകളും മറ്റും അയച്ച് പരിഹരിച്ചു. എന്നാല്‍, 2011ല്‍ ഓപ്പണ്‍ സോഴ്‌സാക്കിയ കൊഡെക്കിനായി ഒരു പാച്ച് പോലും ഇറക്കാന്‍ ആപ്പിള്‍ മെനക്കെട്ടതും ഇല്ല. മിക്ക തേഡ്പാര്‍ട്ടി നിര്‍മാതാക്കളും തങ്ങളുടെ എഎല്‍എസി നിര്‍വഹണത്തിന് ആപ്പിള്‍ 2011ല്‍ ഇട്ട കോഡ് തന്നെയാണ് ആധാരമാക്കി വന്നത്. പുറമേ നിന്നുള്ള കോഡുകളെ അവര്‍ ആശ്രയിച്ചില്ലെന്നാണ് അനുമാനം. ക്വാല്‍കം, മീഡിയാടെക് എന്നീ കമ്പനികള്‍ തങ്ങളുടെ പകുതിയിലേറെ പ്രോസസറുകളിലെ ഓഡിയോ ഡീകോഡിങ്ങിനായി, സുരക്ഷാവീഴ്ചയുള്ള എഎല്‍എസി കോഡ് പോര്‍ട്ടു ചെയ്തു എന്നാണ് ചെക് പോയിന്റിന്റെ റിപ്പോര്‍ട്ടില്‍ പറയുന്നത്.

∙ ആന്‍ഡ്രോയിഡ് ഉപയോക്താക്കളെ ഇത് ബാധിക്കുന്നത് എങ്ങനെ?

ദുര്‍ഘടനയുള്ള (malformed) ഓഡിയോ ഫയലുകള്‍ തങ്ങളുടെ ഉപകരണങ്ങളില്‍ കയറിക്കൂടുമ്പോഴായിരിക്കും ആന്‍ഡ്രോയിഡ് ഹാൻഡ്സെറ്റുകൾ ഉപയോഗിക്കുന്നവര്‍ക്കുള്ള ഭീഷണി ഉടലെടുക്കുക. ഇവയിലെ എഎല്‍എസി ഭേദ്യത, റിമോട്ട് കോഡ് എക്‌സിക്യൂഷന്‍ അറ്റാക്ക് (ആര്‍സിഇ) നടത്തി മുതലെടുക്കാന്‍ ആക്രമണകാരികള്‍ക്ക് സാധിക്കുമെന്നാണ് ചെ്ക് പോയിന്റിന്റെ കണ്ടെത്തല്‍. ആര്‍സിഇ ആക്രമണം ഉപയോഗിച്ച് അകലെയിരുന്ന് കംപ്യൂട്ടിങ് ഉപകരണങ്ങളില്‍, ദുഷ്ടലാക്കോടു കൂടിയ കോഡുകള്‍ പ്രവര്‍ത്തിപ്പിക്കാം. കംപ്യൂട്ടിങ് ഉപകരണങ്ങളില്‍ വൈറസുകള്‍ നിക്ഷേപിക്കുന്നതു മുതല്‍ ഉപയോക്താവിന്റെ മള്‍ട്ടിമീഡിയ ഡേറ്റയിലേക്ക് കടന്നു കയറുക വരെ ചെയ്യാം. ഇങ്ങനെ അധീനതയിലാക്കിയ ഉപകരണങ്ങളുടെ ക്യാമറകളില്‍ നിന്ന് നേരിട്ട് സ്ട്രീമിങ് നടത്താന്‍ പോലും ആക്രമണകാരികള്‍ക്ക് സാധിക്കും.

∙ ആപ്പുകളും ആക്രമണകാരികളാകാം

ആന്‍ഡ്രോയിഡില്‍ ഇപ്പോള്‍ ഏതെല്ലാം ആപ്പുകള്‍ക്ക് ഏതെല്ലാം ഡേറ്റ ഉപയോഗിക്കാമെന്ന് ഉപയോക്താവിന് തീരുമാനിക്കാം. എന്നാല്‍, 'എല്‍എസി ഭേദ്യത' ഉപകരണത്തിനു വന്നാല്‍ ആപ്പുകള്‍ക്ക് തങ്ങളുടെ വലയം ഭേദിച്ച അനുവദനീയമല്ലാത്ത ഫയലുകള്‍ അക്‌സസു ചെയ്യാനും സാധിക്കുമെന്നും പറയുന്നു. ഉപയോക്താവിന്റെ മീഡിയ ഡേറ്റയെക്കുറിച്ചും കോള്‍ വിവരങ്ങളെക്കുറിച്ചും ആപ്പുകള്‍ക്ക് അറിയാന്‍ സാധിക്കും. ഇത്തരം ഭേദ്യതകള്‍ 2021 മുതല്‍ മീഡയാടെക്കും ക്വാല്‍കമും പരിഹരിച്ചുവരികയാണ്. ആന്‍ഡ്രോയിഡ് ഉപയോക്താക്കള്‍ക്ക് പുതിയ സോഫ്റ്റ്‌വെയര്‍ പാച്ചുകള്‍ ലഭ്യമാണെങ്കില്‍ അവ ഇന്‍സ്റ്റാള്‍ ചെയ്യേണ്ടതാണ്.

