Google का एक और गुप्त ब्राउज़र

 (matan-h.com)
2 पॉइंट द्वारा GN⁺ 2024-02-03 | 1 टिप्पणियां | WhatsApp पर शेयर करें

Google Play Services के अंदर एक और गुप्त ब्राउज़र मिला

  • Google Play Services के भीतर एक छिपा हुआ गुप्त ब्राउज़र मौजूद है।
  • इस ब्राउज़र तक लिंक के ज़रिए पहुंचा जा सकता है, और यह Google के सामान्य parental controls तथा 'Lock Mode' को bypass कर सकता है।
  • Contacts app के ज़रिए Android screen pinning feature को bypass करने का एक मिलता-जुलता तरीका भी पाया गया।

इस तक कैसे पहुंचें?

  • Contacts app में जाएं और नया contact जोड़ें या मौजूदा contact को edit करें।
  • 'Add field' पर क्लिक करें और 'Website' field में "https://gds.google.com/gmsdrops"; दर्ज करके सेव करें।
  • सेव किए गए contact में मौजूद लिंक पर क्लिक करने से Google Play Services app के भीतर के गुप्त ब्राउज़र तक पहुंचा जा सकता है।

यह तरीका काम क्यों करता है?

  • Lock Mode में Google सभी apps को lock कर देता है, लेकिन Google Play Services और Contacts app इसके अपवाद हैं।
  • "https://gds.google.com/gmsdrops"; Android के 'What's new' के लिए एक deep link है।
  • parental controls deep link नहीं खोल सकते, लेकिन Contacts app के ज़रिए लिंक खोला जा सकता है।

Screen pinning bypass

  • Android 11 या उसके बाद के वर्ज़न में screen pinning feature का उपयोग करके डिवाइस को सिर्फ़ किसी एक खास app तक सीमित किया जा सकता है।
  • screen pinning की स्थिति में नया app नहीं खोला जा सकता, इसलिए पहले वाला लिंक इस्तेमाल नहीं किया जा सकता, लेकिन Google Podcasts के उस deep link का उपयोग किया जा सकता है जो popup window में खुलता है।

Google की प्रतिक्रिया

  • parental controls bypass और Android screen pinning bypass के बारे में Google को रिपोर्ट किया गया।
  • Google ने parental controls वाली समस्या को screen pinning bypass समस्या के साथ जोड़कर संभाला, और duplicate case को 'भूल' गया।
  • Google ने जवाब दिया कि screen pinning bypass intended behavior है।

GN⁺ की राय:

  • यह लेख Google Play Services के अंदर छिपे ब्राउज़र के माध्यम से parental controls और screen pinning को bypass करने के तरीकों को उजागर करता है, इसलिए यह security vulnerabilities के प्रति जागरूकता बढ़ाने के लिए महत्वपूर्ण है।
  • उपयोगकर्ता इस जानकारी के माध्यम से child protection features और privacy features को बेहतर समझ सकते हैं, और ज़रूरत पड़ने पर security measures को मज़बूत कर सकते हैं।
  • Google की प्रतिक्रिया इन vulnerabilities के प्रति उसके approach और priorities को दिखाती है, और उपयोगकर्ताओं व security researchers के लिए महत्वपूर्ण feedback देती है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-02-03
Hacker News राय

  • बचपन में बैंक लॉबी में लगे single-site browser वाले कंप्यूटर टर्मिनलों की कहानी

    बचपन में, बैंकों और इसी तरह की संस्थाओं की लॉबी में ऐसे कंप्यूटर टर्मिनल होते थे जिनमें एक विशेष browser होता था जो केवल एक ही site दिखा सकता था। यह वही दौर था जब 'Best Viewed In' बैज लोकप्रिय थे। हर बार जब मैं माता-पिता के साथ किसी काम से जाता था, तो मैं इस कंप्यूटर को ढूंढता था और 'Best Viewed In' बैज पर क्लिक करके पाबंदी को बायपास कर netscape.com जैसी साइटों पर पहुंच जाता था, फिर वहां search engine के links ढूंढकर खुलकर web surfing कर सकता था.

  • security vulnerability reports संभालने वाली टीम को internal teams का हवाला देकर जिम्मेदारी से नहीं बचना चाहिए

    security vulnerability report लेने वाली टीम को यह नहीं कहना चाहिए कि "यह किसी दूसरी internal team का काम है, उनसे पूछिए।" वास्तव में, संगठन के लगभग किसी भी कर्मचारी को अगर कोई भरोसेमंद vulnerability report मिले, तो उसे सही लोगों तक पहुंचाना चाहिए। यह ऐसा मुद्दा नहीं है जिसे नजरअंदाज किया जा सके.

  • Google के parental controls कमजोर हैं

    Google के parental controls में सुधार की जरूरत है। Play Store app को disable करने की मांग लंबे समय से की जा रही है, लेकिन अभी भी adb का इस्तेमाल किए बिना यह संभव नहीं है (और adb का इस्तेमाल अपनी अलग समस्याएं पैदा करता है)। ऐसा नहीं लगता कि इसे किसी असली बच्चे से test कराया गया हो। उदाहरण के लिए, Play Store में video वाले screenshots वाले app को ढूंढकर YouTube पर जाना, इस तरह YouTube time limit को आसानी से बायपास किया जा सकता था। यह तरीका लेखक के बेटे ने खुद ढूंढकर दिखाया.

  • यह Windows 98 login screen bypass hack की याद दिलाता है

    यह Windows 98 login screen को bypass करने वाले hack की याद दिलाता है। यह उम्मीद नहीं थी कि Google system design के मामले में Windows 98 के स्तर तक खराब हो सकता है.

  • computer systems के अंदर झांकते हुए पहली बार 'hacking' करने का अनुभव याद आता है

    family computer में trojan horse डालकर समस्या खड़ी कर देना और फिर पिता के घर आने से पहले उसे ठीक करना, या इंटरनेट इस्तेमाल शुरू होने के कुछ साल बाद माता-पिता द्वारा अचानक install किए गए NetNanny जैसे parental controls को bypass करने के तरीके ढूंढना—इन सबने IT और engineering में करियर चुनने पर असर डाला। इसी दौरान Linux live CD और Linux से परिचय हुआ। यह जानकर दिलचस्प लगता है कि आज के hackers भी अब भी इसी तरह सीखते हैं.

  • Google Settings के अंदर छिपे secret browser के बारे में संबंधित जानकारी

    Google Settings के भीतर छिपे secret browser के बारे में जानकारी मौजूद है। जून 2023 में इस पर Hacker News में 312 comments वाली चर्चा हुई थी.

  • Google Play Services खुद को नए permissions दे सकता है

    कहा गया है कि Google Play Services खुद को नए permissions दे सकता है। इससे यह सवाल उठता है कि यह कैसे काम करता है और क्या इसके पास root privileges हैं.

  • GrapheneOS में sandboxed Play Services प्रभावित नहीं होते

    GrapheneOS में sandboxed Play Services प्रभावित नहीं होते, और phone app contacts में web URL नहीं देख सकता, जबकि contacts app लेख में दिए गए दोनों URLs को pinned mode में नहीं खोल सकता.

  • अगर आपको 2023 की पिछली चर्चा में रुचि है

    2023 की पिछली चर्चा में रुचि रखने वालों के लिए link दिया गया है। उस चर्चा में 312 comments थे.