ஆண்ட்ராய்டுக்கான வாட்ஸ்அப்பில் பாதுகாப்பு மீறல், குழுக்களில் தீங்கிழைக்கும் பதிவிறக்கங்களுக்கு பயனர்களை வெளிப்படுத்துகிறது

    Redação Mix Vale
  • em 27 de janeiro de 2026
    • Categories: News (TA)
WhatsApp

WhatsApp - Foto: Alex Photo Stock / Shutterstock.com

Siga o Mix Vale no GoogleVeja as notícias do Mundo com destaque nas buscas do GoogleAdicionar

ஆண்ட்ராய்டு சாதனங்களுக்கான வாட்ஸ்அப்பில் ஒரு முக்கியமான பாதிப்பு கண்டறியப்பட்டுள்ளது, இது சைபர் குற்றவாளிகள் குழு உரையாடல்கள் மூலம் பாதிக்கப்பட்டவர்களின் சாதனங்களுக்கு தீங்கிழைக்கும் கோப்புகளை தானாகவே பதிவிறக்க அனுமதிக்கிறது. Google Project Zero பாதுகாப்புக் குழுவால் மேற்கொள்ளப்பட்ட இந்த கண்டுபிடிப்பானது, நிர்வாகி அனுமதிகள் மற்றும் மீடியா பதிவிறக்கங்களை ஆப்ஸ் நிர்வகிக்கும் விதத்தில் ஒரு குறைபாட்டை அம்பலப்படுத்துகிறது, எந்த பயனர் தொடர்பு தேவையில்லாத தாக்குதல்களுக்கான நுழைவாயிலை உருவாக்குகிறது.

செப்டம்பர் 1, 2025 அன்று வாட்ஸ்அப்பின் தாய் நிறுவனமான Meta-க்கு இந்தச் சிக்கல் முறையாகப் புகாரளிக்கப்பட்டது. கூகுளின் பொறுப்பான வெளிப்படுத்தல் கொள்கையின்படி, 90 நாள் காலத்திற்குப் பிறகு, நிறுவனம் முழுமையான தீர்வை உருவாக்கி செயல்படுத்துவதற்கு நிறுவப்பட்ட காலக்கெடுவுக்குப் பிறகு குறைபாடு பகிரங்கப்படுத்தப்பட்டது. ஒரு பகுதி தீர்வு பயன்படுத்தப்பட்டாலும், மீறல் இன்னும் ஆண்ட்ராய்டு கணினியில் மில்லியன் கணக்கான இயங்குதள பயனர்களுக்கு ஆபத்தை பிரதிபலிக்கிறது.

IOS மற்றும் Windows போன்ற பிற இயங்குதளங்கள் மீடியா கோப்புகளை நிர்வகிப்பதற்கும் பதிவிறக்குவதற்கும் வெவ்வேறு வழிமுறைகளைக் கொண்டிருப்பதால், பாதுகாப்புக் குறைபாடு செய்தியிடல் பயன்பாட்டின் Android பதிப்பை மட்டுமே பாதிக்கிறது. பாதிப்பின் சுரண்டல் பாதிக்கப்பட்டவரின் தொலைபேசி எண்கள் மற்றும் அவர்களது தொடர்புகளில் ஒன்றைப் பற்றிய முன் அறிவைப் பொறுத்தது, இது வெகுஜன தாக்குதல்களின் அளவைக் கட்டுப்படுத்துகிறது, ஆனால் இலக்கு தாக்குதல்களில் ஆபத்தை நிராகரிக்காது.

பாதுகாக்கப்பட்ட WhatsApp – புகைப்படம்: Alberto Garcia Guillen / Shutterstock.com

தங்களைப் பாதுகாத்துக் கொள்ள, பயனர்கள் குழுக்களில் மேம்பட்ட தனியுரிமை அமைப்புகளை இயக்குதல், அனைத்து வகையான மீடியாக்களையும் தானாகப் பதிவிறக்குவதை முடக்குதல் மற்றும் பயன்பாட்டை எப்போதும் புதுப்பித்த நிலையில் வைத்திருப்பது போன்ற உடனடி தடுப்பு நடவடிக்கைகளை எடுக்கலாம். இந்த எளிய செயல்கள், இந்த மற்றும் பிற பாதிப்புகளை சுரண்டுவதற்கு எதிரான பாதுகாப்பின் தடையை கணிசமாக அதிகரிக்கின்றன.

பாதிப்பின் தொழில்நுட்ப விவரங்கள்

குறையைச் சுரண்டுவது புத்திசாலித்தனமான முறையில் நிகழ்கிறது. தாக்குபவர் வாட்ஸ்அப்பில் ஒரு புதிய குழுவை உருவாக்கி, பாதிக்கப்பட்டவரின் தெரிந்த தொடர்புடன் இலக்கு பாதிக்கப்பட்டவரைச் சேர்க்கிறார். குற்றவாளி இந்த தொடர்பை குழு நிர்வாகியிடம் ஊக்குவிக்கிறார், இது தாக்குதலின் வெற்றிக்கான முக்கியமான படியாகும்.

[[MVG_PROTECTED_BLOCK_0]

பாதிக்கப்பட்டவரின் நம்பகமான தொடர்பை நிர்வாகியாக மாற்றுவதன் மூலம், தெரியாத எண்கள் மூலம் அனுப்பப்படும் மீடியாவை தானாகப் பதிவிறக்குவதைத் தடுக்கும் நிலையான பாதுகாப்புகளை WhatsApp அமைப்பு புறக்கணிக்கிறது. இது ஒரு தீங்கிழைக்கும் கோப்பை அனுப்ப தாக்குபவர்களுக்கு ஒரு சாளரத்தைத் திறக்கிறது, அது தானாகவே பாதிக்கப்பட்டவரின் சாதனத்தில் பதிவிறக்கம் செய்யப்பட்டு Android இன் MediaStore தரவுத்தளத்தில் சேமிக்கப்படும்.

குழுக்களில் சுரண்டல் வழிமுறை

குழு நிர்வாகிகளால் அனுப்பப்படும் செய்திகளுக்கு WhatsApp வழங்கும் வேறுபட்ட சிகிச்சையின் காரணமாக பாதுகாப்பு பைபாஸ் சாத்தியமாகும். பாதிக்கப்பட்டவரின் தொடர்பு நிர்வாகியாக மாறியதும், அவர்களுக்குத் தெரியாமலேயே, அந்த குழுவில் அனுப்பப்பட்ட மீடியாவை, தானாகப் பதிவிறக்குவதை அங்கீகரிக்கும் வகையில், பயன்பாடு பாதுகாப்பானதாகக் கருதத் தொடங்குகிறது.

தாக்குதல் வெற்றிகரமாக இருக்க, தீங்கிழைக்கும் கோப்பு, சாண்ட்பாக்ஸ் எனப்படும் கட்டுப்படுத்தப்பட்ட MediaStore சூழலை “தப்பிவிடும்” அளவுக்கு அதிநவீனமாக இருக்க வேண்டும். இந்த சாதனையை அது அடைந்தால், தீங்கிழைக்கும் குறியீடு இயக்க முறைமையில் தரவைத் திருடுதல், ஸ்பைவேரை நிறுவுதல் அல்லது பிற தீங்கு விளைவிக்கும் செயல்கள் போன்ற தீங்கு விளைவிக்கும் கட்டளைகளை இயக்கலாம், பயனர் எந்த இணைப்புகளையும் கிளிக் செய்யாமலோ அல்லது கோப்பைத் திறக்காமலோ.

ஆண்ட்ராய்டில் உள்ள குறைபாட்டின் பிரத்தியேகமானது MediaStore கட்டமைப்பு மற்றும் மூன்றாம் தரப்பு பயன்பாடுகளுடன் இயங்குதளம் தொடர்பு கொள்ளும் விதத்துடன் இணைக்கப்பட்டுள்ளது. மற்ற தளங்களுக்கான வாட்ஸ்அப்பின் பதிப்புகள் பாதிக்கப்படாது, ஏனெனில் அவை அடிப்படையில் வேறுபட்ட நிரலாக்கம் மற்றும் கோப்பு மேலாண்மை தர்க்கத்தைக் கொண்டுள்ளன.

பயனர்களுக்கான பாதுகாப்பு நடவடிக்கைகள்

தானியங்கி மீடியா பதிவிறக்கத்தை முற்றிலுமாக முடக்குவதே முதல் மற்றும் மிகவும் பயனுள்ள பாதுகாப்பு நடவடிக்கையாகும். இதைச் செய்ய, பயனர் WhatsApp இல் “அமைப்புகளை” அணுக வேண்டும், “சேமிப்பு மற்றும் தரவு” விருப்பத்தைத் தேர்ந்தெடுத்து, “தானியங்கி மீடியா பதிவிறக்கம்” பிரிவில், மொபைல் நெட்வொர்க்குகள் மற்றும் வைஃபைக்கான அனைத்து விருப்பங்களையும் (புகைப்படங்கள், ஆடியோக்கள், வீடியோக்கள் மற்றும் ஆவணங்கள்) தேர்வுநீக்க வேண்டும்.

மற்றொரு முக்கியமான பாதுகாப்பு அடுக்கு உங்கள் எண்ணை குழுக்களில் யார் சேர்க்கலாம் என்பதைக் கட்டுப்படுத்துவது. “தனியுரிமை” அமைப்புகளில், தாக்குபவர்களால் உருவாக்கப்பட்ட அறியப்படாத குழுக்களில் சேர்ப்பதைத் தவிர்த்து, “எனது தொடர்புகள்” மட்டுமே அவற்றைச் சேர்க்க முடியும் என்பதை பயனர் வரையறுக்க முடியும்.

நீங்கள் ஏற்கனவே பங்கேற்கும் குழுக்களில், சந்தேகத்திற்கிடமான செயல்களுக்கு எதிராக பாதுகாப்பை வலுப்படுத்தும் அம்சமான “மேம்பட்ட தனியுரிமை” செயல்படுத்த பரிந்துரைக்கப்படுகிறது. இந்த விருப்பம் பொதுவாக ஒவ்வொரு குழுவின் விரிவான தகவலிலும் கிடைக்கும் மற்றும் கண்டுபிடிக்கப்பட்டதைப் போன்ற சுரண்டல் முயற்சிகளைத் தடுக்க உதவுகிறது.

இறுதியாக, வாட்ஸ்அப் அப்ளிகேஷன் மற்றும் ஆண்ட்ராய்டு இயங்குதளத்தை எப்போதும் அப்டேட் செய்து வைத்திருப்பது அவசியம். சமீபத்திய அச்சுறுத்தல்களுக்கு எதிராக உங்கள் சாதனத்தைப் பாதுகாக்கும், அறியப்பட்ட பாதிப்புகளைச் சரிசெய்யும் பாதுகாப்பு இணைப்புகளை மேம்படுத்தல்கள் பெரும்பாலும் கொண்டிருக்கும்.

மெட்டா பதில் மற்றும் திருத்தங்கள் பயன்படுத்தப்பட்டன

செப்டம்பர் 2025 இல் கூகுள் ப்ராஜெக்ட் ஜீரோவிடமிருந்து விரிவான அறிக்கையைப் பெற்ற பிறகு, மெட்டா பகுப்பாய்வு செய்து பிழைத்திருத்தத்தை உருவாக்கும் செயல்முறையைத் தொடங்கியது. அதே ஆண்டு நவம்பர் 30 ஆம் தேதியுடன் முடிவடைந்த 90-நாள் காலக்கெடு, ஒரு உறுதியான தீர்வு செயல்படுத்தப்படாமல் காலாவதியானது, குறைபாடு பகிரங்கமாக வெளிப்படுத்தப்படுவதற்கு வழிவகுத்தது, பயனர்களை எச்சரிப்பதற்கும் விரைவான தீர்வுக்கு அழுத்தம் கொடுப்பதற்கும் ஒரு நிலையான தொழில் நடைமுறை.

டிசம்பர் 4, 2025 அன்று, Meta ஒரு பகுதி சர்வர் பக்க ஃபிக்ஸைச் செயல்படுத்தியது, இது பெரிய அளவில் பாதிப்பைப் பயன்படுத்துவதை மிகவும் கடினமாக்குவதன் மூலம் சில ஆபத்தைத் தணித்தது. இருப்பினும், ப்ராஜெக்ட் ஜீரோவின் அதிகாரப்பூர்வ பதிவு, முழுமையான தீர்வு இன்னும் வளர்ச்சியில் உள்ளது என்பதைக் குறிக்கிறது, பயன்பாட்டிலேயே ஒரு திட்டவட்டமான இணைப்பு வெளியிடப்படும் வரை சில தாக்குதல் காட்சிகள் சாத்தியமாக இருக்கக்கூடும் என்று பரிந்துரைக்கிறது.

இணைய பாதுகாப்பில் Google Project Zero இன் பங்கு

Google Project Zero என்பது, உலகெங்கிலும் உள்ள மில்லியன் கணக்கான மக்களால் பரவலாகப் பயன்படுத்தப்படும் மென்பொருளில், இயக்க முறைமைகள் மற்றும் பிரபலமான பயன்பாடுகள் உட்பட, “ஜீரோ-டே” பாதிப்புகள் – டெவலப்பர்களுக்கும் பொதுமக்களுக்கும் இன்னும் தெரியாத கடுமையான குறைபாடுகளைக் கண்டறிவதற்காக அர்ப்பணிக்கப்பட்ட பாதுகாப்பு ஆய்வாளர்களின் உயரடுக்கு குழுவாகும். இந்த மீறல்களை முன்கூட்டியே கண்டறிந்து புகாரளிப்பதன் மூலம் இணையத்தை பாதுகாப்பான இடமாக மாற்றுவதே குழுவின் நோக்கம். 90 நாள் வெளிப்படுத்தல் கொள்கை அதன் தூண்களில் ஒன்றாகும், இது டெவலப்பர்களுக்கு சிக்கல்களைச் சரிசெய்ய போதுமான நேரத்தை வழங்குவதற்கும், திருத்தங்கள் சரியான நேரத்தில் பயன்படுத்தப்படாவிட்டால் ஏற்படும் அபாயங்கள் குறித்து பொதுமக்களுக்குத் தெரிவிக்கப்படுவதை உறுதி செய்வதற்கும் இடையே சமநிலையை ஏற்படுத்த உருவாக்கப்பட்டது. ப்ராஜெக்ட் ஜீரோவின் பணி ஏற்கனவே எண்ணற்ற தொழில்நுட்பத் தயாரிப்புகளின் பாதுகாப்பில் குறிப்பிடத்தக்க முன்னேற்றங்களை ஏற்படுத்தியுள்ளது, மேலும் தொழில்துறையானது உயர்தர பாதுகாப்பைப் பின்பற்றவும், வளர்ந்து வரும் அச்சுறுத்தல்களுக்கு விரைவாக பதிலளிக்கவும் கட்டாயப்படுத்தியுள்ளது.

தாக்குதலின் நடைமுறை வரம்புகள்

பாதிப்பின் தீவிரம் இருந்தபோதிலும், அதன் நடைமுறைச் சுரண்டல் பாரிய தாக்குதல்களை கடினமாக்கும் தடைகளைக் கொண்டுள்ளது. முக்கிய வரம்பு என்னவென்றால், தாக்குபவர் பாதிக்கப்பட்டவரின் தொலைபேசி எண்ணை மட்டுமல்ல, அவர்களின் தொடர்புகளில் ஒன்றையும் வைத்திருக்க வேண்டும். தரவு கசிவுகள் இந்த தகவலை இன்னும் அணுகக்கூடியதாக ஆக்கினாலும், இரண்டு குறிப்பிட்ட எண்களுக்கு இடையேயான தொடர்புக்கு இன்னும் இலக்கு முயற்சி தேவைப்படுகிறது, இது பெரிய அளவிலான தீம்பொருள் பிரச்சாரங்களை விட தனிப்பட்ட உளவு அல்லது பின்தொடர்தல் காட்சிகளில் தாக்குதலை அதிகமாக்குகிறது.

Tags: google திட்டம் பூஜ்யம்ஆண்ட்ராய்டுடிஜிட்டல் பாதுகாப்புபாதிப்புவாட்ஸ்அப்