ویڈیو: دس ÙÙ†ÛŒ لمØات جس ميں لوگوں Ú©ÛŒ کيسے دوڑيں لگتی ÛÙŠÚº ™,999 ÙÙ†ÛŒ (اکتوبر 2024)
ڈیجیٹل دستخط نہیں ٹوٹے
کسی دستاویز یا فائل پر ڈیجیٹل طور پر دستخط کرنے کا پورا نکتہ یہ ثابت کرنا ہے کہ فائل میں ترمیم نہیں کی گئی ہے۔ اس عمل میں عوامی کلیدی خاکہ نگاری کی ایک شکل استعمال ہوتی ہے۔ آپ اپنی نجی کلید کے ساتھ فائل کو خفیہ کرکے ڈیجیٹل طور پر دستخط کرتے ہیں۔ یہ حقیقت یہ ہے کہ آپ کی عوامی کلید کا استعمال کرتے ہوئے مرموز فائل کو ڈکرپٹ کیا جاسکتا ہے اس کا ثبوت یہ ہے کہ کوئی چھیڑ چھاڑ نہیں ہوئی ہے۔ اگر بلیو بکس نے کسی فائل کو اپنے ڈیجیٹل دستخط کو تبدیل کیے بغیر دراصل اس میں ترمیم کرنے کا کوئی طریقہ تلاش کرلیا ہوتا ، تو یہ پوری کریپٹو صنعت کو حیرت زدہ بنا دیتا۔ لیکن انہوں نے ایسا نہیں کیا۔
بلیو باکس کچھ ہفتوں میں بلیک ہیٹ کانفرنس میں اپنی تحقیق کی مکمل تفصیلات بتائے گا۔ تاہم ، ویافورنکس کے محقق پاؤ اولیووا فوورا نے تصور کوڈ کا ثبوت شائع کیا ہے جو لیا گیا نقطہ نظر کو واضح کرتا ہے۔
سچ میں ، یہ بہت ، بہت آسان ہے۔ وسیع پیمانے پر زپ آرکائیوگ الگورتھم کے ورژن کا استعمال کرتے ہوئے APK فائلیں پیک کی گئی ہیں۔ زیادہ تر زپ عمل آوریوں میں ایک محفوظ شدہ دستاویزات میں دو ایک جیسی فائلوں کی اجازت نہیں ہوگی ، لیکن خود الگورتھم اس امکان سے منع نہیں کرتا ہے۔ جب کسی ایپ کے ڈیجیٹل دستخط کی جانچ کرتے ہوئے ، لوڈ ، اتارنا Android OS پہلی ملاپ کی فائل پر نظر ڈالتا ہے ، لیکن جب فائل کو درآمد اور لانچ کرتے وقت وہ آخری کو اپنی گرفت میں لے جاتا ہے۔ کسی ایپ کو ٹروزنائز کرنے کے ل then ، آپ کو صرف اپنے ناموزوں کوڈ کو جوتے میں شامل کرنے کی ضرورت ہے اس نام کا استعمال کرکے جو ایپ میں موجود ہے۔ Fora کا مظاہرہ جاوا کوڈ کی صرف چند درجن لائنوں پر ہے۔
ایک اور ساختی حملہ
اینڈرائیڈ سیکیورٹی اسکواڈ کے بطور بلاگنگ کرنے والے ایک چینی محقق نے مظاہرے کو دلچسپ پایا اور تصدیق کے عمل کو خراب کرنے کے دیگر طریقوں کی تلاش کی۔ گوگل سے ترجمہ شدہ پوسٹ کو پڑھنا قدرے سخت ہے ، لیکن ایسا لگتا ہے کہ حملہ کمپیوٹر سائنس کے 101 سطح کے تصور پر ہے۔
کمپیوٹر پروگرام گنتی تعداد کو بٹس کے فکسڈ سائز کے جمع کرنے میں اسٹور کرتے ہیں۔ مثال کے طور پر ، آٹھ بٹس کے ذریعہ آپ 0 سے 255 تک نمبروں کی نمائندگی کرسکتے ہیں۔ اگر منفی اعداد کی نمائندگی کرنا ضروری ہے تو ، طویل المیعاد کنونشن یہ ہے کہ بائیں بازو میں منفی تعداد کی نشاندہی ہوتی ہے۔ آٹھ بٹس کے ساتھ ، آپ نمبر -128 سے 127 تک بھی نمائندگی کرسکتے ہیں۔ بائنری نمبر 11111111 255 یا -1 کی نمائندگی کرتا ہے ، اس پر منحصر ہے کہ آیا اس کا ارادہ کسی دستخط شدہ یا دستخط شدہ نمبر کی حیثیت سے ہے۔
اینڈروئیڈ سیکیورٹی اسکواڈ نے APK فائل ہیڈر فارمیٹ پر سوراخ کیا اور ایک ایسا ڈیٹا فیلڈ پایا جو ایک مثبت آفسیٹ سمجھا جاتا ہے ، لیکن یہ دستخط شدہ عدد کے طور پر محفوظ ہے۔ اس فیلڈ کو کسی مخصوص منفی قدر پر مجبور کرنے سے APK لوڈر پہلے سے تصدیق شدہ ڈیجیٹل کے ساتھ دستخط شدہ کوڈ کے بجائے ، بدنیتی کوڈ پر عمل درآمد کرنے کا سبب بنتا ہے۔ ٹھیک ہے ، یہ تھوڑا سا زیادہ پیچیدہ ہے ، لیکن یہ تقریبا اس طرح کام کرتا ہے۔
گوگل پلے کے ساتھ رہو
ان میں سے کوئی بھی ہیک دراصل اینڈروئیڈ ڈیجیٹل دستخطی میکانزم کو ناکام بناتا ہے۔ بلکہ ، وہ دونوں ڈیجیٹل دستخط کو غیر متعلقہ پیش کرنے کے لئے APK ڈھانچے میں نرالیوں کا فائدہ اٹھاتے ہیں۔ نیز ، ان میں سے کوئی بھی ٹروزنائزڈ ایپ کو Google کے ماضی کے تجزیوں کو چھپانے کے قابل نہیں بنائے گا۔ گوگل نے خصوصی طور پر "ماسٹر کی" حملے کا استعمال کرتے ہوئے ٹروزنائزڈ ایپس کو فلٹر کرنے کے لئے گوگل پلے کو اپ ڈیٹ کیا ہے۔ یہاں تک کہ اس قدم کے بغیر ، معیاری سیکیورٹی یقینی طور پر کسی بھی طرح کی ٹروجنائزڈ ایپ کو مسدود کردے گی۔
سبق واضح ہے۔ ہمیشہ اپنے ایپس کو جائز ذرائع سے حاصل کریں ، ہمیشہ یہ یقینی بنانا چیک کریں کہ ڈویلپر کا نام درست ہے ، اور اپنے فون کو تشکیل دیں تاکہ یہ "نامعلوم ذرائع" سے ایپس انسٹال کرنے کی اجازت نہیں دیتا ہے۔ اس بات پر توجہ دیں کہ ایپ کو کس درخواست کی اجازت دیتا ہے ، اور مشکوک نظر آنے والی تنصیب کو منسوخ کرنے کے لئے تیار ہوں۔ اگر آپ کا کیریئر Android اپ ڈیٹ پیش کرتا ہے تو ہمیشہ اسے انسٹال کریں۔ یہ صرف عقل ہے!
