گھر سیکیورٹی واچ اسمارٹ اپ! ہر ایک کو android سیکیورٹی کے بارے میں سوچنے کی ضرورت ہے

اسمارٹ اپ! ہر ایک کو android سیکیورٹی کے بارے میں سوچنے کی ضرورت ہے

2024

ویڈیو: Ø¢ÛŒØª Ø§Ù„Ú©Ø±Ø³ÛŒ Ú©ÛŒ Ø§ÛŒØ³ÛŒ ØªÙ„Ø§ÙˆØª Ø¢Ù¾ Ù†Û’ Ø´Ø§ÛŒØ¯ Ù¾ÛÙ„Û’@ Ú©Ø¨Ù‡ÛŒ Ù†Û Ø³Ù†ÛŒ Ù‡ÙˆU (اکتوبر 2024)

ویڈیو: Ø¢ÛŒØª Ø§Ù„Ú©Ø±Ø³ÛŒ Ú©ÛŒ Ø§ÛŒØ³ÛŒ ØªÙ„Ø§ÙˆØª Ø¢Ù¾ Ù†Û’ Ø´Ø§ÛŒØ¯ Ù¾ÛÙ„Û’@ Ú©Ø¨Ù‡ÛŒ Ù†Û Ø³Ù†ÛŒ Ù‡ÙˆU (اکتوبر 2024)

اینڈروئیڈ سیکیورٹی کے بارے میں لکھتے وقت ، مجھے بار بار اسی مسئلے کو دیکھنے کی ضرورت ہے (ایس ایس ایل ، لوگو! آو!)۔ ہم نے وڈٹ کے سی ای او نوم فائن اور موبائل ڈویلپمنٹ کے سربراہ نیر اورپاز سے کہا کہ وہ یہ بتائیں کہ اینڈروئیڈ ڈویلپرز اپنی سیکیورٹی کے انتخاب کو کیوں پسند کرتے ہیں اور اپنے ہی سیکیورٹی بحران سے نمٹنے کے بعد کیا بہتر کام کرنے کی ضرورت ہے۔

علم کی کمی

وڈٹ کے ڈویلپرز سے بات کرنے سے ، ایسا لگتا ہے کہ اینڈرائیڈ ماحولیاتی نظام میں کھلاڑیوں کے مابین رابطہ منقطع ہے۔ فائن نے کہا ، "صارف اتنا پڑھا لکھا نہیں ہے کہ وہ یہ دیکھنے کے لئے کہ وہ اپنے فون میں کیا اضافہ کر رہے ہیں۔ "مجھے یقین نہیں ہے کہ ہر کوئی واقعی اس کی بہت پرواہ کرتا ہے۔"

دوسری طرف ، ڈویلپرز ہمیشہ ان خطرات کو نہیں جانتے جو ان کے ایپس نمائندگی کرسکتے ہیں۔ آرفاز نے کہا ، "ڈویلپر مکمل طور پر نہیں سمجھتے کہ وہ جو منتقل کرتے ہیں وہ ذاتی معلومات ہے۔" عمدہ نے اس پر اتفاق کرتے ہوئے کہا کہ اس بارے میں کوئی سخت اور تیز قواعد موجود نہیں تھے کہ واقعی میں کون سی معلومات "ذاتی" ہو۔

ایک اور مسئلہ تیسرا فریق مشتھرین کا ہے جو صارفین کو معلومات اکٹھا کرنے کے لئے ڈویلپرز کو ان کے ایپس میں سافٹ ویئر ڈویلپمنٹ کٹس (ایس ڈی کے) شامل کرنے کے لئے ادائیگی کرتے ہیں۔ مشتھرین متعدد ایپس کے اعداد و شمار کو صریحاly تفصیلی ڈوسیئر میں مرتب کرسکتے ہیں۔ مثال کے طور پر ، ایک ایپ آپ کی عمر کے بارے میں پوچھ سکتی ہے ، اور دوسرا آپ کے نام کے ل. ، لیکن ایک ہی مشتہر دونوں میں سودے ہوسکتا ہے۔

یہ بات قابل غور ہے کہ وڈٹ ایپ کی ترقی اور اشتہار کے مابین ایک طرح کا ہے۔ وہ ایس ڈی کے پلیٹ فارم تیار کرتے ہیں جسے ایپس میں داخل کیا جاسکتا ہے تاکہ ایپ ڈویلپر اپنی تخلیقات سے کچھ رقم کما سکے۔

ٹھیک ہے ، صارف کی تعلیم کی کمی سیکیورٹی کو مکمل طور پر ڈویلپرز پر ڈال دیتی ہے۔ فائن نے کہا ، "اگر آپ اپنی ساکھ کی پرواہ کرتے ہیں تو ، آپ اسے برقرار رکھنے میں بہت ساری کوششیں لگاتے ہیں۔ اس کا مطلب ہے کہ آپ کے کاروباری طریقوں کا اتنا ہی ہونا ہے جتنا آپ کے حفاظتی طریقوں سے ،" فائن نے کہا۔ انہوں نے ڈویلپرز کو حوصلہ افزائی کی کہ وہ مشتہرین کے ساتھ سائن اپ کرنے اور ایس ڈی کے ان کے ایپس میں انسٹال کرنے سے پہلے احتیاط سے سوچیں۔ انہوں نے ڈویلپرز کو بھی ان کی ایپ کو فعال کرنے سے پہلے SDKs کی مطلوبہ اجازتوں کی جانچ کرنے کی ترغیب دی۔ "اگر آپ نے ایک ڈویلپر کی حیثیت سے ان اجازتوں کے لئے نہیں پوچھا تو کیا آپ SDK کو یہ اجازت دینے کو تیار ہیں؟"

محفوظ طریقے سے ترقی کر رہا ہے

فائن اور اورفاز دونوں نے کہا کہ سیکیورٹی کے بارے میں بات کرنا ایک چیز ہے ، لیکن اس کو ایپس میں نافذ کرنا ایک اور بات تھی۔ معلومات کو منتقل کرنے کے لئے ایک خفیہ کردہ SSL کنکشن کو برقرار رکھنا ایک عمدہ عمل ہے ، لیکن چھوٹی ڈویلپرز کے ل for چیلنج ہوسکتی ہے۔ اورپاز نے وضاحت کرتے ہوئے کہا ، "آپ کو ایس ایس ایل سرور لینا ہوگا ، اور کبھی کبھی یہ آسان کام نہیں ہوتا ہے۔" ہم نے بہت سی کمپنیوں کو ایس ایس ایل کو شرمناک اور غلط انداز میں بٹانے پر تنقید کی ہے۔

کچھ کمزوریاں یہاں تک کہ انتہائی بنیادی کاموں سے بھی پیدا ہوتی ہیں۔ مثال کے طور پر ، فائن نے اینڈروئیڈ کی اجازت کی طرف اشارہ کیا جو ایپس کو انٹرنیٹ سے جڑنے کی اجازت دیتا ہے۔ "ٹھیک ہے ،" ہر ڈویلپر یہی کام کرتا ہے۔ "ایک بار جب آپ نیٹ ورک سے جڑ جاتے ہیں تو یہ فورا. ہی ایک خطرہ ہوتا ہے۔"

انہوں نے ڈویلپرز کو حوصلہ افزائی کی کہ وہ عقل مند استعمال کریں اور ان ایپس میں شامل خصوصیات کے امکانی خطرات کا نقشہ بنائیں اور ساتھ ہی صارفین پر معلومات اکٹھا کریں۔ "اگر آپ یہ کر رہے ہیں تو ، آپ کو رکنے اور سوچنے کی ضرورت ہے کہ 'میں خطرات کو کم کرنے کے لئے کیا کر رہا ہوں؟'" فائن نے کہا۔ "مجھے یقین نہیں ہے کہ زیادہ تر ڈویلپر ایسا کرتے ہیں۔"

پہلے ہاتھ کا تجربہ

وڈٹ کو اپنی سیکیورٹی کی پریشانی تھی ، جس کی اطلاع ہم نے ایک حالیہ موبائل دھمکی میں پیر کے روز شائع کی۔ ان کا سسٹم ایپ کے اندر ایس ڈی کے کوڈ استعمال کرتا ہے جو روزانہ ایک ریموٹ سرور کو اینڈرائیڈ فون میں اپ ڈیٹ ڈاؤن لوڈ کرنے کے لئے کال کرتا ہے۔ سیکیورٹی محققین نے اس کو خطرناک قرار دیا ہے کیوں کہ مواصلات کو بغیر کسی ایس ایس ایل کنکشن کے سنبھالا گیا تھا ، ممکنہ طور پر کسی حملہ آور کو فائل کو روکنے اور اس کی جگہ کو بدنیتی پر مبنی بنانے کی اجازت دی جا allowing۔

ٹھیک اور اورفاز نے زور دیا کہ وہ اس مسئلے کے بارے میں محققین کے اعلان کے اعلان سے پہلے ہی جانتے تھے ، اور مستقبل میں اس کو حل کرنے کا منصوبہ بنا چکے ہیں۔ "اس خطرے کو ہونے کے بہت کم امکان ہونے کی حیثیت سے سمجھا جاتا تھا۔ ایک بار جب ہم اسے بہتر طور پر سمجھ گئے تو ، ہم نے فورا care ہی دیکھ بھال کی اور ایک نیا ورژن جاری کیا۔" عمدہ طور پر وڈٹ کو "ایک ارب میں سے ایک" موقع کے طور پر استعمال کرتے ہوئے کامیابی سے حملہ کرنے کی وضاحت کی گئی۔

لیکن انہوں نے اعتراف کیا کہ ایک ایسی تبدیلی کی ضرورت ہے جس کی ضرورت ہے۔ "یہ کہنا اتنا اچھا نہیں تھا کہ واقعی یہ کم امکان تھا۔"

یہ سچ ہے کہ حملہ آور کو کسی کے فون پر حملہ کرنے کے لئے وڈٹ کو استعمال کرنے کے لئے کافی حد تک جانا پڑے گا۔ یہ یقینی طور پر اس قسم کی چیز نہیں ہوگی جس کا اوسط اینڈرائڈ اسکیمر کوشش کرے گا۔ اگر حملہ آور قابل قدر ہو تو حملہ آور بہت سارے وسائل اکٹھا کرسکتے ہیں ، اور موبائل خطرہ زمین کی تزئین ہر وقت بدلتا رہتا ہے۔ آج کیا ایک ارب سے ون موقع ہوسکتا ہے ، کل ایک یقینی بات ہوسکتی ہے۔

ہر ایک ، آپ کا کھیل

این ایس اے ڈیٹا اکٹھا کرنے کے بارے میں سنوڈن کے انکشافات کی وجہ سے ، Android صارفین سیکیورٹی کے بارے میں زیادہ فکر مند ہوسکتے ہیں ، لیکن انہیں اپنی ایپس کو بھی تلاش کرنا چاہئے۔ ہم نے پہلے ہی دیکھا ہے کہ جاسوس ایجنسیاں کس طرح ناراض پرندوں جیسی کھیلوں سے اپنی معلومات اکٹھا کرنے کا فائدہ اٹھا رہی ہیں۔ عمدہ نے کہا کہ صارفین اینڈروئیڈ ماحولیاتی نظام چلاتے ہیں ، اور اگر وہ بہتر سیکیورٹی کا مطالبہ کرتے ہیں تو ڈویلپرز کو ان کی پیروی کرنی ہوگی۔

"ہر ایک کی ذمہ داری ہے کہ وہ ایک اینڈروئیڈ صارف کی حیثیت سے معیار قائم کریں اور اپنے آپ کو اور اپنے بچوں کو تعلیم دیں۔" "ہمارے بچے بڑے ہو رہے ہیں ، انہیں ایسا وقت معلوم نہیں ہوگا جب ہر چیز کا اشتراک نہیں کیا جارہا تھا۔" ٹھیک ہے کہ ڈویلپرز ، "ذمہ داری کے اسی احساس کو محسوس کرنے کی ضرورت ہے۔"