ویڈیو: ئەو ڤیدیۆی بوویە Ù‡Û†ÛŒ تۆبە کردنی زۆر گەنج (اکتوبر 2024)
موبائل آپریٹنگ سسٹم کے بارے میں ایک بہترین چیز سینڈ باکسنگ ہے۔ یہ تکنیک ایپلی کیشنز کو الگ کرتی ہے ، اور خطرناک ایپس (یا کسی بھی ایپ) کو اپنے Android پر مفت لگام رکھنے سے روکتی ہے۔ لیکن ایک نئی کمزوری کا مطلب یہ ہوسکتا ہے کہ Android کا سینڈ باکس اتنا مضبوط نہیں ہے جتنا ہم نے سوچا تھا۔
یہ کیا ہے؟
بلیک ہیٹ میں ، جیف فورسٹل نے یہ ظاہر کیا کہ اینڈروئیڈ سرٹیفکیٹ کو کیسے ہینڈل کرتا ہے اس میں ایک خامی کس طرح سینڈ باکس سے بچنے کے ل. استعمال ہوسکتی ہے۔ یہاں تک کہ نقصان دہ ایپس کو اعلی مراعات کی سطح دینے کے لئے بھی استعمال کیا جاسکتا ہے ، سب متاثرین کو اس بات کا اشارہ نہیں دیئے کہ ان کے فون میں کیا ہورہا ہے۔ فورسٹل نے کہا کہ اس خطرے کو ڈیٹا ، پاس ورڈ چوری کرنے ، اور یہاں تک کہ متعدد ایپس پر مکمل کنٹرول حاصل کرنے کے لئے استعمال کیا جاسکتا ہے۔
اس مسئلے کی اصل میں سرٹیفکیٹ ہیں ، جو بنیادی طور پر بہت کم دستاویزاتی دستاویزات ہیں جس کا مقصد یہ یقینی بنانا ہے کہ ایپ وہی ہے جو اس کا دعوی کرتی ہے۔ فورسٹل نے وضاحت کی کہ یہ وہی عین ٹیکنالوجی ہے جو مستند ہونے کو یقینی بنانے کے لئے ویب سائٹوں کے ذریعہ استعمال ہوتی ہے۔ لیکن پتہ چلتا ہے ، لوڈ ، اتارنا Android ، سرٹیفکیٹ کے مابین خفیہ تعلقات کی جانچ نہیں کرتا ہے۔ فارسٹل نے کہا ، یہ خامی "اینڈروئیڈ سیکیورٹی سسٹم کا بہت بنیادی ہے۔"
یہ کیا کرتا ہے
اپنے مظاہرے میں ، فورسٹل نے ایک جعلی گوگل سروسز اپ ڈیٹ کا استعمال کیا جس میں جعلی آئی ڈی میں سے ایک خطرہ استعمال کیا گیا ہے۔ اس ایپ کو ایک سوشل انجینئرنگ ای میل کے ساتھ پہنچایا گیا تھا جہاں حملہ آور متاثرہ کے آئی ٹی ڈیپارٹمنٹ کے حصے کے طور پر لاحق ہے۔ جب متاثرہ ایپ کو انسٹال کرنے جاتا ہے تو ، وہ دیکھتا ہے کہ ایپ کو کسی بھی اجازت کی ضرورت نہیں ہے اور وہ جائز معلوم ہوتا ہے۔ اینڈروئیڈ تنصیب کرتا ہے ، اور سب کچھ ٹھیک معلوم ہوتا ہے۔
لیکن پس منظر میں ، فورسٹل کے ایپ نے آلے کے دیگر ایپس میں خودکار طور پر اور فوری طور پر بدنیتی کوڈ کو انجیکشن دینے کے لئے ایک جعلی شناخت کا خطرہ استعمال کیا ہے۔ خاص طور پر ، فلیش کو اپ ڈیٹ کرنے کا ایک ایڈوب سرٹیفکیٹ جس کی معلومات کو Android میں ہارڈ کوڈ کیا گیا تھا۔ سیکنڈوں میں ، اس کے پاس ڈیوائس پر پانچ ایپس کا کنٹرول تھا- جن میں سے کچھ کو متاثرہ کے آلے تک گہری رسائی حاصل تھی۔
یہ پہلا موقع نہیں جب فورسٹل نے اینڈروئیڈ کے ساتھ گھوم لیا۔ 2013 میں ، فورسٹل نے Android کمیونٹی کو چونکا جب اس نے نام نہاد ماسٹر کلی استحصال کی نقاب کشائی کی۔ اس وسیع و عریض خطرہ کا مطلب یہ تھا کہ جعلی ایپس کو قانونی طور پر بھیس میں تبدیل کیا جاسکتا ہے ، جو ممکنہ طور پر بدنیتی پر مبنی ایپس کو ایک مفت پاس دے گا۔
چیک ID
فورسٹل کی پیشرفت سے ہمیں اینڈرائیڈ کے بارے میں صرف آنکھ کھولنے کی خبر ہی نہیں دی گئی ، اس نے ہمیں اپنے افراد کو بچانے کے لئے ایک ٹول بھی دیا۔ فورسٹرال نے اس خطرے کا پتہ لگانے کے لئے ایک مفت اسکیننگ ٹول جاری کیا۔ یقینا ، اس کا اب بھی مطلب ہے کہ لوگوں کو میلویئر کو اپنے فون پر آنے سے روکنا ہوگا۔
گوگل کو بھی بگ کی اطلاع دی گئی ہے ، اور واضح طور پر پیچ مختلف سطحوں پر سامنے آرہے ہیں۔
مزید اہم بات یہ کہ ، پورا حملہ متاثرہ شخص پر ایپ انسٹال کرنے پر منحصر ہے۔ سچ ہے ، اس میں بہت ساری اجازت طلب کرنے کا سرخ پرچم نہیں ہے ، لیکن فارسٹل نے کہا ہے کہ اگر صارف "مشکوک مقامات" (ایپس: گوگل پلے کے باہر) سے ایپس سے گریز کرتے ہیں تو وہ محفوظ رہیں گے۔ کم از کم ، ابھی کے لئے۔
