محمد زہیر چوھان
کراچی سے تعلق رکھنے والے نوجوان سیکیورٹی ریسرچر، رافع بلوچ کسی تعارف کے محتاج نہیں۔ رافع دنیا کی بڑی کمپنیوں جیسے مائیکروسافٹ، گوگل، فیس بک اور ٹوئٹر کی سیکیورٹی میں موجود بہت سی خامیوں کی نشاندہی کرکے عالمی شہرت حاصل کر چکے ہیں۔ کچھ عرصہ قبل ہی رافع نے پے پال کی ویب سائیٹ میں بھی ایک بڑی خامی کا سراغ لگایا جس پر نہ صرف انہیں بھاری انعام دیا گیا بلکہ پے پال کمپنی میں کام کرنے کی آفر بھی ہوئی۔
گذشتہ دو ہفتوں سے ایک بار پھر انٹرنیٹ پر رافع کا نام زیر گردش ہے، اسکی وجہ یہ ہے کہ رافع نے گوگل کے موبائل آپریٹنگ سسٹم اینڈرائیڈ میں ایک بہت بڑی خامی کو تلاش کیا ہے، جسکی وجہ سے کم وبیش 75 فیصد اینڈرائیڈ کی معلومات ہیکرز کے ہتھے چڑھ جانے کا امکان تھا۔
رافع نے یہ خامی اگست کے وسط میں دریافت کی اور فوری طور پر گوگل کو اس سے آگاہ کیا، تاہم گوگل نے رافع کی ریسرچ کو مسترد کردیا اور اس خامی پر پردہ ڈالنے کی کوشش کی۔ تاہم بعد ازاں جب رافع کے بلاگ پر اس حوالے سے تحریر شائع کی گئی تو دنیا بھر کے سیکیورٹی ریسرچرز اور خود گوگل کو بھی حالات کی سنگینی کا احساس ہوا۔
اینڈرائیڈ آپریٹنگ سسٹم میں موجود یہ خامی کٹ کیٹ 4.4 سے پہلے والے تمام ورژنز میں موجود ہے۔ فون میں موجود سٹاک براؤزر یا AOSP براؤزر میں ایک فیچر شامل ہے جسے SOP (Same Origin Policy) کا نام دیا گیا ہے۔ جو کسی ایک ویب سائیٹ کے مختلف پیجز کو آپس میں جوڑتا ہے تاہم اسے دوسری ویب سائیٹس سے الگ رکھتا ہے۔ یعنی مثال کے طور پر آپ کے براؤزر میں اگر فیس بک لاگ ان کیا گیا ہے تو یہ فیس بک سے متعلقہ تمام سروسز کو تو آپ کی معلومات تک رسائی دے گا مگر کسی اور ویب سائیٹ جیسے آئی ٹی نامہ کو فیس بک کی معلومات نہیں دکھائے گا۔
تاہم اینڈرائیڈ کے سٹاک براؤزر میں موجود خامی کے سبب ہیکرز ایک خاص جاوا سکرپٹ کوڈ کسی بھی ویب سائیٹ میں استعمال کرکے آپ کے موبائل براؤزر پر مکمل کنٹرول حاصل کرسکتے ہیں۔ اسکی بدولت وہ آپ کے براؤزر میں کھلی دیگر ونڈوز کو بھی دیکھ سکتے ہیں اور کوکیز کا استعمال کرتے ہوئے لاگ ان معلومات بھی حاصل کرسکتے ہیں۔
رافع کے مطابق انہوں نے سب سے پہلے یہ خامی کیو موبائل نوائر اے 20 میں دریافت کی جو اینڈرائیڈ 4.2.1 جیلی بین آپریٹنگ سسٹم پر چل رہا ہے، تاہم بعد ازاں سام سنگ اور ایچ ٹی سی کے اینڈرائیڈ فونز میں بھی یہی بگ دریافت کیا گیا۔
گوگل نے اینڈرائیڈ کے سب سے تازہ ترین ورژن کٹ کیٹ 4.4 میں سٹاک براؤزر کو ختم کرکے اس کی جگہ کروم کو شامل کیا ہے جو کافی محفوظ ہے۔ تاہم اینڈرائیڈ صارفین کی ایک بڑی تعداد ابھی بھی جیلی بین اور پرانے ورژنز استعمال کررہی ہے۔
گوگل نے اب اس مسئلہ کے حل پر کام شروع کردیا ہے اور اسے کوڈ CVE-2014-6041 الاٹ کیا گیا ہے، تاہم اگر آپ اینڈرائیڈ کا پرانا ورژن استعمال کررہے ہیں تو بہتر یہی ہوگا کہ آپ سٹاک براؤزر کی بجائے کروم یا فائر فاکس کا استعمال کریں۔