Android में आई समस्या जिसे कोई नहीं देखना चाहता था
12 मार्च 2026 को, Ledger के सुरक्षा शोध दल ने एक ऐसी खोज की जिसे प्रौद्योगिकी क्षेत्र के किसी भी अधिकारी के लिए चिंताजनक होना चाहिए: एक हमलावर, जिसे MediaTek चिपसेट वाले Android फोन तक भौतिक पहुंच प्राप्त है, वह डिवाइस का PIN निकाल सकता है, पूरी स्टोरेज को डिक्रिप्ट कर सकता है और डिजिटल वॉलेट की सीड वाक्यांश को 45 सेकंड में चुरा सकता है। उसे फोन चालू करने की आवश्यकता नहीं है। उसे बस एक USB केबल और एक कॉफी तैयार करने के लिए पर्याप्त समय चाहिए।
दो दिन पहले, Google ने Android के लिए अपना मासिक सुरक्षा बुलेटिन जारी किया था, जो अप्रैल 2018 के बाद से का सबसे बड़ा था: एक ही चक्र में 129 कमजोरियों को ठीक किया गया। इनमें से एक शून्य-दिन की समस्या Qualcomm चिपसेट में थी — जिसे CVE-2026-21385 के रूप में वर्गीकृत किया गया था — जो उस समय सक्रिय रूप से शोषित हो रही थी जब जनता को इसके अस्तित्व के बारे में पता नहीं था। यह 234 विभिन्न चिपसेट मॉडल के 234 से अधिक प्रभावित करती है। सुरक्षा शोधकर्ताओं का अनुमान है कि यह समस्या सैकड़ों मिलियन उपकरणों तक फैली हुई है।
हम दो समकालिक संकटों के सामने हैं जिनके तकनीकी मूल अलग हैं लेकिन एक समान अंतर्निहित कारण है: एक संगठन को कुछ पता होने और उस पर कार्रवाई करने के बीच की दूरी।
एक देरी की संरचना जिसे कोई देरी नहीं मानता
जो विवरण तकनीकी नेताओं का ध्यान सबसे अधिक आकर्षित करना चाहिए वह समस्या नहीं, बल्कि उसकी समयरेखा है।
MediaTek ने अपनी कमजोरियों के लिए पैच जनवरी 2026 में उपकरण निर्माताओं को वितरित कर दिया। Ledger की शोध रिपोर्ट 12 मार्च 2026 को प्रकाशित हुई। इसका मतलब है कि दो महीने से अधिक का समय था जिसमें फोन निर्माताओं के पास समाधान था और, अधिकांश मामलों में, उन्होंने इसे कार्यान्वित नहीं किया या सार्वजनिक रूप से इसकी सूचना नहीं दी। जब यह सार्वजनिक किया गया, तो किसी भी OEM ने आधिकारिक तौर पर समस्या को स्वीकार नहीं किया।
Qualcomm के मामले में, Google के थ्रेट एनालिसिस ग्रुप ने 18 दिसंबर 2025 को समस्या की रिपोर्ट की। Qualcomm ने अपने ग्राहकों को 2 फरवरी 2026 को सूचित किया। और पैच अंतिम उपयोगकर्ता के लिए 10 मार्च 2026 के बुलेटिन में आए। खोज से लेकर अंतिम उपयोगकर्ता के लिए सुधार तक यह तीन महीने का समय लगता है, जबकि समस्या पहले से ही campo में शोषित हो रही थी।
यह तकनीकी लापरवाही नहीं है। यह एक उद्योग का संरचनात्मक लक्षण है जिसने सॉफ़्टवेयर के जीवन चक्र के एक स्वीकार्य भाग के रूप में जोखिम के खुले मौकों को मान लिया है। समस्या इंजीनियरों में नहीं है जो पैच लिखते हैं, बल्कि उन संगठनों में है जो यह तय करते हैं कि वे कब और कैसे उन्हें प्राथमिकता देते हैं। यह निर्णय तकनीकी नहीं है: यह सांस्कृतिक है, और यह उन लोगों द्वारा लिया जाता है जिनके नाम के ऊपर VP या Chief लिखा है।
Ledger के CTO चार्ल्स गिलेमेंट थे, जिन्होंने अपनी X पर खाता के माध्यम से खोज को सार्वजनिक किया। प्रदर्शन CMF फोन 1 पर Dimensity 7300 चिपसेट के साथ किया गया। निहित संदेश स्पष्ट था: अगर हम इसे प्रयोगशाला में 45 सेकंड में पुनः उत्पन्न कर सकते हैं, तो कोई जो बेहतर आर्थिक प्रोत्साहन रखता है, वह इसे कम समय में और कम नियंत्रित परिस्थितियों में कर सकता है।
जो टूटा वह कोड नहीं था
Android पारिस्थितिकी तंत्र का विभाजन एक ऐसा तथ्य है जिसे कोई भी तकनीकी कार्यकारी मेमोरी से जानता है। MediaTek, Qualcomm, Unisoc, Imagination Technologies और Arm मार्च के उसी सुरक्षा बुलेटिन में सह-अस्तित्व करते हैं, सभी मिलकर 129 में से अधिकांश कमजोरियों को ठीक करते हैं। प्रत्येक अपने समय पर कार्य करता है, अपने स्वयं के गोपनीयता समझौतों के साथ, और यह तय करने के लिए अपने स्वयं के मानदंड होते हैं कि कब एक खतरा तात्कालिक संचार के लायक है बनाम कब यह अगले नियमित चक्र तक इंतजार कर सकता है।
उस विभाजन ही समस्या नहीं है। असली समस्या यह है कि पारिस्थितिकी तंत्र में कोई भी कंपनी इस uncomfortable सवाल का उत्तर लेने की जिम्मेदारी नहीं लेती: अगर फोन निर्माताओं के पास जनवरी से MediaTek का पैच था, और किसी ने इसे इंस्टॉल नहीं किया या इसे संप्रेषित नहीं किया, तो उस विशेष समय में जो उपकरण कमजोर हुए, उसकी जिम्मेदारी किसकी है?
इस प्रकार के मामलों में कंपनी की सामान्य प्रतिक्रिया जिम्मेदारी को इतनी प्रभावी ढंग से वितरित करना है कि यह सामूहिक रूप से मुक्त हो जाती है। MediaTek का कहना है कि उसने पैच देकर अपना कार्य किया। OEMs बताते हैं कि वे अपने अपडेट चक्रों पर काम कर रहे हैं। Google बताता है कि मासिक बुलेटिन सही तंत्र है। और अंतिम उपयोगकर्ता, अपने जेब में फोन रखे हुए, यह नहीं जानता कि उसके पास एक ऐसी कमजोरी है जो उसकी क्रिप्टोकरेंसी की वॉलेट को खाली करने की अनुमति देती है, जितना समय एक कॉफी चुकाने में लगता है।
यह सॉफ़्टवेयर इंजीनियरिंग का मुद्दा नहीं है। यह एक मूल्य श्रृंखला में समझौतों की आर्किटेक्चर का मुद्दा है जहाँ किसी ने बात करने की इच्छा नहीं की कि जब व्यावसायिक गति के प्रोत्साहनों का टकराव होता है, तो सुरक्षा के संचालन के प्रोत्साहनों का क्या होता है। OEMs को उपकरण लॉन्च करने का दबाव होता है। चिपसेट विक्रेताओं पर वॉल्यूम बेचने का दबाव होता है। और सुरक्षा टीमों पर ऐसे शीर्षक न बनाने का दबाव होता है जो बिक्री को प्रभावित करते हैं। इस त्रिकोण में, अंतिम उपयोगकर्ता की सुरक्षा वह संपत्ति है जिसे सभी सुरक्षा का दावा करते हैं और कोई भी इसकी कीमत चुकाना नहीं चाहता।
प्रशासनिक सुविधा की कीमत
एक पैटर्न है जो औद्योगिक पैमाने पर सुरक्षा संकटों में लगातार दिखाई देता है: समस्या के निजी ज्ञान और सार्वजनिक सुधार के बीच एक मौन अवधि का अस्तित्व। यह अवधि आकस्मिक नहीं है। यह उन व्यक्तियों द्वारा सक्रिय निर्णयों का परिणाम है जिन्होंने, सचेत या अनजान रूप से, यह निर्धारित किया कि एक आपातकालीन स्थिति को घोषित नहीं करने की सुविधा उनके उपयोगकर्ताओं के उजागर होने के जोखिम से अधिक मूल्यवान थी।
Qualcomm के शून्य-दिन के मामले में, सक्रिय शोषण पहले ही हो रहा था जब जनता को समस्या के बारे में पता चला। इसका मतलब है कि Sophisticated तत्व, जिन्हें Google "सीमित और लक्षित शोषण" के रूप में वर्गीकृत करता है, उपयोगकर्ताओं, निर्माताओं और वितरण श्रृंखला के कुछ भागों पर सूचना संबंधी एक लाभ के साथ काम कर रहे थे। इस तरह का लाभ रातोंरात नहीं प्राप्त होता: इसके लिए पहचान के समय, शोषण का विकास और तैनाती की आवश्यकता होती है। यह पूरा प्रक्रिया उस स्थिति में हुई जब समस्या निजी हलकों में ज्ञात थी लेकिन जनता को संप्रेषित नहीं की गई।
Android की सुरक्षा आर्किटेक्चर में इसका सामना करने के लिए यांत्रिक तंत्र हैं। Google Play सिस्टम अपडेट के माध्यम से अपडेटिंग के माध्यम से कुछ घटकों के पैच वितरित करने की अनुमति देता है बिना मासिक चक्र की प्रतीक्षा के। मार्च के बुलेटिन में शामिल किए गए मीडियाकोड्स मेनलाइन की अपडेट्स सीधे डिवाइस पर पहुंच सकती हैं। लेकिन ये तंत्र केवल तभी काम करते हैं जब निर्माताओं ने उनका कार्यान्वयन किया हो और जब उपयोगकर्ताओं के पास उपकरण हो जो उनका समर्थन करता हो। MediaTek चिपसेट वाले सैकड़ों मिलियन फोन के लिए जिन्होंने जनवरी का पैच नहीं प्राप्त किया, कोई तकनीकी तंत्र उस संगठनात्मक निर्णय की भरपाई नहीं करता है कि उस अपडेट को प्राथमिकता नहीं दी जानी थी।
दिलचस्प बात यह है कि Google, Apple और उच्च श्रेणी के स्नैपड्रैगन चिप्स वाले फोन निर्माताओं ने समर्पित सुरक्षा चिप्स को शामिल किया है जो उन उपकरणों में अतिरिक्त सुरक्षा की परत प्रदान करते हैं जो MediaTek की समस्या के कारण प्रभावित हुए हैं। यह तकनीकी विशिष्टताओं का एक विवरण नहीं है: यह एक डिजाइन दर्शन में अंतर है जिसका उपयोगकर्ता की एक्सपोजर के स्तर पर प्रत्यक्ष प्रभाव पड़ता है। और यह एक ऐसा अंतर है जिसे मध्यम और निम्न श्रेणी के निर्माताओं की प्रबंधन टीमें, साल दर साल, सार्वजनिक बातचीत में परिवर्तित करने के लिए चुने गए हैं।
Android पारिस्थितिकी तंत्र का नेतृत्व जो नहीं हो सका
जो कार्यकारी इस नोट को पढ़ रहा है, वह संभवतः फोन का निर्माण नहीं करता है या चिपसेट डिज़ाइन नहीं करता है। लेकिन वह एक संगठन का नेतृत्व करता है जहाँ सांख्यिकीय रूप से ऐसा ही कोई पैटर्न विद्यमान है: जोखिम से संबंधित जानकारी जो उस पर स्केल नहीं हुआ है क्योंकि इसे स्केल करने से असुविधा उत्पन्न होती है, प्राथमिकताओं के टकराव को सक्रिय करती है या ऐसी बातचीत को मजबूर करती है जिसे कोई भी तिमाही समाप्त करने से पहले नहीं करना चाहता।
वृहद पैमाने पर सुरक्षा संकट केवल इस कारण से उत्पन्न होते हैं कि इंजीनियर विफल हो गए हैं। वे ऐसे संगठनों के परिणाम हैं जहां समस्या की पहचान की गति व्यवस्थित रूप से नुकसान के प्रसार की गति से अधिक धीमी है। इस विषमता को बेहतर इंजीनियरों को नियुक्त करके हल नहीं किया जाता है। इसे एक ऐसी संस्कृति का निर्माण करने से हल किया जाता है जहाँ प्रारंभिक एक्सपोजर को स्वीकार करना राजनीतिक परिणामों के बिना किया जा सके।
मार्च 2026 का बुलेटिन 129 कमजोरियों को ठीक करता है। उस संख्या में जो कमजोरी नहीं है वो है जो किसी भी संगठन में विद्यमान है जिसने नियंत्रण की उपस्थिति को बेहतर ढंग से प्रबंधित करना सीखा है। ऐसे मामले को CVE आवंटित नहीं किया गया है। लेकिन इसका एक मूल्य है जो हमेशा उस पैच से अधिक होता है जिसे समय पर कोई भी प्रकाशित करने नहीं चाहता था।
एक संगठन की संस्कृति वह नहीं है जो उसके नेता अपने रणनीति प्रस्तुतियों में घोषणा करते हैं: यह सूचना के संप्रेषण के पैटर्न का सटीक रूप है, यह कब संप्रेषित होता है और किसे बिना परिणामों के इसे संप्रेषित करने की अनुमति होती है।
