گھر سیکیورٹی واچ تمام چیزوں کو پیچ! کامدیو کی نئی تکنیک دل کے کنارے بگ کا استحصال کرتی ہے

تمام چیزوں کو پیچ! کامدیو کی نئی تکنیک دل کے کنارے بگ کا استحصال کرتی ہے

2024

ویڈیو: Ø¹Ø§Ø±Ù Ú©Ø³Û’ Ú©ÛØªÛ’ ÛÛŒÚºØŸ Ø§Ù„Ù„Û Ø³Û’ Ù…ØØ¨Øª Ú©ÛŒ Ø¨Ø§ØªÛŒÚº Ø´ÛŒØ® Ø§Ù„Ø§Ø³Ù„Ø§Ù… ÚˆØ§Ú (اکتوبر 2024)

ویڈیو: Ø¹Ø§Ø±Ù Ú©Ø³Û’ Ú©ÛØªÛ’ ÛÛŒÚºØŸ Ø§Ù„Ù„Û Ø³Û’ Ù…ØØ¨Øª Ú©ÛŒ Ø¨Ø§ØªÛŒÚº Ø´ÛŒØ® Ø§Ù„Ø§Ø³Ù„Ø§Ù… ÚˆØ§Ú (اکتوبر 2024)

اپریل میں ، ہم نے یہ سیکھا کہ اوپن ایس ایس ایل کے مشہور کوڈ لائبریری میں موجود ایک مسئلے سے حملہ آوروں کو ممکنہ طور پر محفوظ سرورز ، میموری سے ممکنہ طور پر لاگ ان کی سند ، نجی چابیاں اور بہت کچھ حاصل کرنے کی صلاحیت ختم ہوسکتی ہے۔ "ہاربلڈڈ" کے نام سے دبے ہوئے ، یہ بگ دریافت ہونے سے پہلے برسوں سے موجود تھی۔ اس مسئلے کے زیادہ تر مباحثوں نے یہ فرض کیا ہے کہ ہیکرز اسے محفوظ سرورز کے خلاف استعمال کریں گے۔ تاہم ، ایک نئی رپورٹ میں یہ ظاہر کیا گیا ہے کہ لینکس اور اینڈروئیڈ کو چلانے والے سرورز اور اینڈ پوائنٹ پر آسانی سے اس کا فائدہ اٹھایا جاسکتا ہے۔

سیس ویلیو کے محقق ، لوئس گرینجیا نے ، ایک پروف-تصور-کوڈ لائبریری تشکیل دی جس کو وہ "کامدیو" کہتے ہیں۔ کامدیوڈ موجودہ لینکس کوڈ لائبریریوں کے دو پیچ پر مشتمل ہے۔ ایک "بری سرور" کو کمزور لینکس اور اینڈرائڈ کلائنٹوں پر ہارٹلیڈ کا استحصال کرنے کی اجازت دیتا ہے ، جبکہ دوسرا کسی "شری کلائنٹ" کو لینکس سرورز پر حملہ کرنے کی اجازت دیتا ہے۔ گرینجیا نے ماخذ کوڈ کو آزادانہ طور پر دستیاب کردیا ہے ، امید ہے کہ دوسرے محققین اس بارے میں مزید جاننے کے لئے شامل ہوں گے کہ کس طرح کے حملے ممکن ہیں۔

سبھی ضعیف نہیں ہیں

کامدیو خاص طور پر وائرلیس نیٹ ورکس کے خلاف کام کرتا ہے جو توسیعی قابل استناد پروٹوکول (EAP) استعمال کرتے ہیں۔ آپ کا گھر وائرلیس روٹر تقریبا یقینی طور پر EAP استعمال نہیں کرتا ہے ، لیکن زیادہ تر انٹرپرائز سطح کے حل کرتے ہیں۔ گرانجیہ کے مطابق ، یہاں تک کہ کچھ وائرڈ نیٹ ورک EAP کا استعمال کرتے ہیں لہذا اس سے خطرہ ہوتا ہے۔

کامیڈ کوڈ کے ساتھ جکڑے ہوئے نظام میں متاثرہ افراد کی یاد سے ڈیٹا حاصل کرنے کے تین مواقع موجود ہیں۔ یہ محفوظ کنکشن بنانے سے پہلے ہی حملہ کرسکتا ہے ، جو قدرے تشویشناک ہے۔ یہ مصافحہ کے بعد حملہ کرسکتا ہے جو سیکیورٹی کو قائم کرتا ہے۔ یا درخواست کا ڈیٹا شیئر کرنے کے بعد یہ حملہ کرسکتا ہے۔

جیسے کامیڈ سے لیس آلہ پکڑ سکتا ہے ، گرینجیا نے بڑے پیمانے پر اس بات کا تعین نہیں کیا ہے ، حالانکہ "سرسری معائنہ میں کمزور مؤکلوں اور سرور دونوں پر دلچسپ چیزیں مل گئیں۔" اس "دلچسپ چیزیں" میں نجی کیز یا صارف کی اسناد شامل ہوسکتی ہیں اس کا ابھی پتہ نہیں چل سکا ہے۔ سورس کوڈ کو جاری کرنے کی ایک وجہ یہ ہے کہ اس طرح کی تفصیلات دریافت کرنے پر زیادہ دماغ کام کریں۔

تم کیا کر سکتے ہو؟

اینڈرائیڈ 4.1.0 اور 4.1.1 دونوں اوپن ایس ایس ایل کا ایک کمزور ورژن استعمال کرتے ہیں۔ بلیو باکس کی ایک رپورٹ کے مطابق ، بعد کے ورژن تکنیکی لحاظ سے کمزور ہیں ، لیکن دل کی دھڑکن پیغام رسانی کا نظام غیر فعال ہے ، جس سے ہارٹلیبڈ کو استحصال کرنے کے لئے کچھ نہیں ملا ہے۔

اگر آپ کا Android آلہ 4.1.0 یا 4.1.1 چل رہا ہے تو ، ممکن ہو تو اپ گریڈ کریں۔ اگر نہیں تو ، گرینجیا مشورہ دیتی ہے کہ "آپ کو نامعلوم وائرلیس نیٹ ورکس سے مربوط ہونے سے گریز کرنا چاہئے جب تک کہ آپ اپنے روم کو اپ گریڈ نہیں کرتے ہیں۔"

لینکس سسٹم جو وائرلیس کے ذریعے مربوط ہوتے ہیں وہ اس وقت تک خطرے سے دوچار ہیں جب تک کہ اوپن ایس ایل کو پیچ نہ کیا جائے۔ اس طرح کے نظام کو استعمال کرنے والوں کو یہ یقینی بنانے کے لئے ڈبل چیک کرنا چاہئے کہ پیچ پیچ واقع ہے۔

جیسا کہ کارپوریٹ نیٹ ورکس جو EAP استعمال کرتے ہیں ، گریجیایا کا مشورہ ہے کہ وہ سیس ویلیو یا کسی اور ایجنسی کے ذریعہ اس نظام کی آزمائش کریں۔

میک ، ونڈوز بکس ، اور iOS آلات متاثر نہیں ہوئے ہیں۔ ایک بار کے ل it's ، یہ لینکس ہے جو پریشانی میں ہے۔ آپ یہاں گرینجیا کی مکمل پوسٹ پڑھ سکتے ہیں یا سلائیڈ شو کی پریزنٹیشن یہاں دیکھ سکتے ہیں۔ اگر آپ خود محقق ہیں تو ، آپ کوڈ کو پکڑ کر تھوڑا سا تجربہ کرنا چاہیں گے۔