Android उपयोगकर्ताओं को डायनामिक कोड लोडिंग के बारे में क्यों ध्यान रखना चाहिए

जब लोग एंड्रॉइड एप्लिकेशन का उपयोग करते हैं, तो पृष्ठभूमि में जो कुछ भी हो रहा है वह आमतौर पर उनके दिमाग में नहीं आता है। दुर्भाग्य से, डायनेमिक कोड लोडिंग नामक एक प्रोग्रामिंग विकल्प सुरक्षा जोखिम पैदा कर सकता है। यहां आपको इसके बारे में जानने की जरूरत है।

डायनामिक कोड लोडिंग क्या है?

एप्लिकेशन डेवलपमेंट में, ऐप बनाते समय इस्तेमाल किया जाने वाला पूरा सोर्स कोड कोडबेस बनाता है। डायनेमिक कोड लोडिंग किसी ऐप को अपने कोडबेस से परे सामग्री खींचने और ऑपरेशन, या रनटाइम के दौरान इसे निष्पादित करने की अनुमति देता है।

इस विकल्प के परिणामस्वरूप ऐप का आकार छोटा हो सकता है क्योंकि कोड को Android पैकेज किट (APK) में एम्बेड करने के बजाय दूरस्थ रूप से संग्रहीत करना एक सामान्य अभ्यास है।

एपीके फ़ाइल प्रारूप है जो एंड्रॉइड ऐप्स को वितरित और इंस्टॉल करते समय उपयोग करता है। इसमें किसी ऐप के संगत डिवाइस पर काम करने के लिए सभी घटक शामिल हैं। डायनामिक कोड लोडिंग विकास के दृष्टिकोण से लाभ लाता है, जिसमें कुछ ऐसे भी शामिल हैं जो ऐप की उपयोगिता में सुधार करते हैं।

उदाहरण के लिए, एक ऐप किसी व्यक्ति को अलग-अलग सामग्री दिखा सकता है, जो इस बात पर निर्भर करता है कि वे मुफ्त या प्रीमियम संस्करण का उपयोग करते हैं। डायनामिक कोड लोडिंग एपीके आकार को बढ़ाए बिना उपयोगकर्ता के स्तर के आधार पर सही सामग्री प्रदर्शित कर सकती है।

इसके अतिरिक्त, डायनामिक कोड लोडिंग डेवलपर्स को छोटे बदलावों वाले नए ऐप संस्करण जारी करने की अनुमति देता है। उपयोगकर्ताओं को कुछ भी डाउनलोड किए बिना नवीनतम संस्करण मिलते हैं।

इन लाभों के बावजूद, डायनामिक कोड लोडिंग Android ऐप सुरक्षा से संबंधित जोखिम बढ़ा सकती है।

दुर्भावनापूर्ण ऐप्स में अक्सर डायनामिक कोड लोड होने की सुविधा होती है

2019 के एक शोध पत्र के लेखकों ने उनकी समानताओं को खोजने के लिए दुर्भावनापूर्ण Android ऐप्स की जांच की। उन्होंने अन्य पक्षों द्वारा पूर्ण किए गए पिछले शोध का हवाला दिया जिसमें खतरनाक ऐप्स की शीर्ष विशेषता के रूप में गतिशील कोड लोडिंग दिखाया गया था।

एक जांच में 86,798 ऐप्स में से लगभग 20,000 में डायनेमिक कोड लोड हो रहा था।

आगे के स्पष्टीकरण से संकेत मिलता है कि लोग एक खतरनाक ऐप की मुख्य कार्यक्षमता को स्वतंत्र पुस्तकालयों में डालते हैं, फिर इसे चलाने के लिए गतिशील कोड लोडिंग का उपयोग करते हैं। वह दृष्टिकोण ऐप के दुर्भावनापूर्ण व्यवहार को ढाल देता है, जिससे यह कम पता लगाने योग्य हो जाता है।

मैलवेयर के प्रकारों के बारे में Google का दस्तावेज़ीकरण यह भी स्पष्ट करता है कि डायनामिक कोड के दुरुपयोग को पिछले दरवाजे की विविधता के रूप में चिह्नित किया जा सकता है। कंपनी पिछले दरवाजे के मैलवेयर को डिवाइस पर संभावित रूप से हानिकारक, रिमोट-नियंत्रित क्रियाओं को निष्पादित करने के रूप में परिभाषित करती है। इसके बाद इसने डायनामिक कोड लोडिंग का एक उदाहरण दिया, जिससे ऐप टेक्स्ट संदेशों को निकाल सकता है।

हालांकि, Google का कहना है कि यह देखता है कि कोड निष्पादन स्पष्ट रूप से दुर्भावनापूर्ण व्यवहार करता है या नहीं। यदि नहीं, तो कंपनी मनमाने ढंग से कोड निष्पादन को एक डेवलपर के पैच करने की भेद्यता के रूप में मानती है।

खतरनाक ऐप्स के उदाहरणों में, मनमाने ढंग से कोड निष्पादन एक हैकर को लक्षित डिवाइस पर दूरस्थ रूप से कमांड करने की अनुमति देता है।

शोधकर्ता एक गतिशील कोड लोडिंग समस्या की पहचान करते हैं

उपयोगकर्ताओं के लिए सुरक्षा बढ़ाने के लिए Google अक्सर निर्णायक कार्रवाई करता है। उदाहरण के लिए, तृतीय-पक्ष कुकीज़ उपयोगकर्ताओं को ट्रैक करती हैं, उनकी जानकारी सहेजती हैं, और बाद में उन्हें लक्षित विज्ञापन दिखाने के लिए इसका उपयोग करती हैं। हालांकि, कंपनी 2022 तक क्रोम ब्राउजर पर थर्ड पार्टी कुकीज को ब्लॉक कर देगी। इसने बदलाव के लिए कोई खास तारीख नहीं बताई।

हालाँकि, सुरक्षा पर ध्यान केंद्रित करने से कंपनी समस्याओं से मुक्त नहीं हो जाती है। साइबर सुरक्षा शोधकर्ताओं ने Google ऐप के भीतर लगातार मनमाना कोड निष्पादन पाया और कंपनी को इसकी सूचना दी। यह समस्या मई 2021 में तय की गई थी, लेकिन इसने अधिक लोगों को डायनामिक कोड लोडिंग से जुड़ी संभावित समस्याओं पर ध्यान देने के लिए प्रेरित किया।

शोधकर्ताओं ने पुष्टि की कि भेद्यता किसी व्यक्ति के Google डेटा को चोरी करने से पहले एक हमलावर को केवल एक बार ऐप लॉन्च करने देगी। एक हैकर किसी व्यक्ति के डिवाइस पर एक खतरनाक ऐप से कोड लाइब्रेरी खींचने के लिए Google ऐप दोष का फायदा उठा सकता है।

वहां से, साइबर अपराधी किसी व्यक्ति के ईमेल सहित लगभग सभी Google डेटा तक पहुंच सकते हैं। वे उपयोगकर्ता के माइक्रोफ़ोन, कैमरा और रीयल-टाइम स्थान की जानकारी को भी सक्रिय कर सकते थे।

खतरनाक ऐप भेद्यताओं के बारे में चेतावनियों पर ध्यान दें

चूंकि डायनामिक कोड लोडिंग विकास के अंत में होता है, एक औसत ऐप उपयोगकर्ता यह सत्यापित करने के लिए कुछ भी नहीं कर सकता है कि क्या कोई निश्चित पेशकश पृष्ठभूमि में कैसे काम करती है, इससे संबंधित छिपे हुए खतरे पैदा कर सकती है। हालांकि, तकनीकी सुर्खियों में आने वाले किसी भी एंड्रॉइड ऐप सुरक्षा समाचार पर नज़र रखना बुद्धिमानी है।

साइबर सुरक्षा शोधकर्ता लगातार उन मुद्दों की तलाश करते हैं जो सैकड़ों हजारों ऐप उपयोगकर्ताओं को जोखिम में डाल सकते हैं, फिर उन पर रिपोर्ट करें। संभावित ऐप खतरों से अवगत रहने से उपयोगकर्ताओं को यह तय करने में मदद मिलेगी कि संभावित रूप से समस्याग्रस्त एप्लिकेशन को अपडेट करना या हटाना है या नहीं।