असुरक्षित डीएनएस सेटअप

OWASP कैटगरी: MASVS-NETWORK: Network Communication

खास जानकारी

डीएनएस के असुरक्षित कॉन्फ़िगरेशन तब हो सकते हैं, जब डेवलपर किसी ऐप्लिकेशन के डीएनएस ट्रांसपोर्ट के तरीके को पसंद के मुताबिक बनाते हैं, डिवाइस के डिफ़ॉल्ट को बायपास करते हैं या जब कोई उपयोगकर्ता Android 9 और इसके बाद के वर्शन में कोई निजी डीएनएस सर्वर तय करता है. डीएनएस कॉन्फ़िगरेशन में गड़बड़ी होने पर, उपयोगकर्ता डीएनएस स्पूफ़िंग या डीएनएस कैश पॉइज़निंग जैसे हमलों के शिकार हो सकते हैं. इससे हमलावर, उपयोगकर्ता के ट्रैफ़िक को नुकसान पहुंचाने वाली साइटों पर रीडायरेक्ट कर सकते हैं.

असर

अगर कोई दुर्भावनापूर्ण नेटवर्क हमलावर, डीएनएस को स्पूफ़ करने में कामयाब हो जाता है, तो वह उपयोगकर्ता को चुपके से ऐसी वेबसाइट पर रीडायरेक्ट कर सकता है जिसे वह कंट्रोल करता है. इससे उपयोगकर्ता को शक भी नहीं होगा. उदाहरण के लिए, यह नुकसान पहुंचाने वाली वेबसाइट, उपयोगकर्ता से व्यक्तिगत रूप से पहचान करने वाली जानकारी चुरा सकती है. इसके अलावा, यह उपयोगकर्ता के लिए सेवा में रुकावट पैदा कर सकती है या उसे बिना सूचना दिए दूसरी वेबसाइटों पर रीडायरेक्ट कर सकती है.

जोखिम: डीएनएस ट्रांसपोर्ट सिक्योरिटी में कमज़ोरी

Android 9 और इसके बाद के वर्शन में, कस्टम डीएनएस कॉन्फ़िगरेशन की मदद से ऐप्लिकेशन, Android में पहले से मौजूद डीएनएस के लिए ट्रांसपोर्ट लेयर सिक्योरिटी को बायपास कर सकते हैं.

जोखिम कम करने के तरीके

डीएनएस ट्रैफ़िक को मैनेज करने के लिए, Android OS का इस्तेमाल करना

Android OS को डीएनएस मैनेज करने की अनुमति दें. Android ने SDK लेवल 28 से, डीएनएस ट्रांसपोर्ट में सुरक्षा की सुविधा जोड़ी है. इसके लिए, डीएनएस ओवर टीएलएस का इस्तेमाल किया जाता है. इसके बाद, SDK लेवल 30 में डीएनएस ओवर एचटीटीपी/3 का इस्तेमाल किया जाता है.

एसडीके टूल लेवल >=28 का इस्तेमाल करें

एसडीके टूल के लेवल को कम से कम 28 पर अपडेट करें. ध्यान दें कि इस समस्या को कम करने के लिए, जाने-माने और सुरक्षित सार्वजनिक डीएनएस सर्वर से कम्यूनिकेट करना ज़रूरी है. ऐसे सर्वर यहां देखे जा सकते हैं.

संसाधन