विज्ञापन

SourceDNA, एक कोड एनालिटिक्स प्लेटफ़ॉर्म जो एंड्रॉइड और आईओएस ऐप का ऑडिट करता है, ने हाल ही में एक रिपोर्ट जारी की है 1,000 से अधिक iOS ऐप में एक गंभीर सुरक्षा भेद्यता है जो उपयोगकर्ता के वित्तीय से समझौता कर सकती है विवरण।

बग एप्लिकेशन को सही तरीके से प्रमाणित करने से रोकता है एसएसएल प्रमाणपत्र SSL प्रमाणपत्र क्या है, और क्या आपको एक की आवश्यकता है?निजी जानकारी शामिल होने पर इंटरनेट ब्राउज़ करना डरावना हो सकता है। अधिक पढ़ें , बीच-बीच के हमलों के कई एप्स को खोल रहा है। जबकि यह ऐप प्रभावित नहीं करता है आईओएस की सुरक्षा स्मार्टफ़ोन सुरक्षा: क्या iPhones मालवेयर प्राप्त कर सकते हैं?आईफ़ोन के "हजारों" को प्रभावित करने वाले मैलवेयर ऐप स्टोर के क्रेडेंशियल्स को चुरा सकते हैं, लेकिन अधिकांश आईओएस उपयोगकर्ता पूरी तरह से सुरक्षित हैं - तो आईओएस और दुष्ट सॉफ़्टवेयर के साथ क्या सौदा है? अधिक पढ़ें , यह प्रभावित एप्लिकेशन के माध्यम से प्रेषित उपयोगकर्ता डेटा से समझौता कर सकता है ...

एक साधारण बग जो SSL तोड़ता है

iphonefront

प्रश्न में बग AFNetworking पैकेज में है, एक लोकप्रिय ओपन-सोर्स नेटवर्किंग समाधान है जो हजारों ऐप स्टोर ऐप में उपयोग किया जाता है। बग एक साधारण तर्क त्रुटि है जो एसएसएल चेक को वास्तव में जगह लेने से रोकता है, सभी प्रमाण पत्रों की जांच को वैध मानता है। यह एक भारी सुरक्षा आपदा की तरह नहीं है

Heartbleed हार्दिक - आप सुरक्षित रहने के लिए क्या कर सकते हैं? अधिक पढ़ें या मनोविकृति हार्दिक से भी बदतर? शेलशॉक से मिलो: ओएस एक्स और लिनक्स के लिए एक नया सुरक्षा खतरा अधिक पढ़ें - लेकिन यह एक समस्या है यदि आप एक ऐप का उपयोग करते हैं जिसमें बग शामिल है। सौभाग्य से, बग केवल छह सप्ताह के लिए मौजूद था, 2.5.1 में जोड़ा गया, और 2.5.2 में तय किया गया। आप यथोचित मान सकते हैं कि यह कहानी का अंत है।

दुर्भाग्यवश नहीं।

अफसोस की बात है, कई डेवलपर्स सक्रिय रूप से बग फिक्स के साथ अपने ऐप को अपडेट नहीं रखते हैं, और ए उन ऐप्स का गुच्छा जो उपलब्धता के बावजूद अभी भी AFNetworking के टूटे हुए संस्करण का उपयोग कर रहे हैं पैच। SourceDNA ने 20,000 ऐप्स का विश्लेषण किया जिसमें AFNetworking पैकेज के संस्करण शामिल हैं, और यह निर्धारित किया कि लगभग 1,000 अभी भी टूटे एसएसएल चेक का उपयोग कर रहे हैं।

iphoneback

SourceDNA एनालिटिक्स टूल का उपयोग करके इस चेक को करने में सक्षम था जो हजारों ऐप्स की बाइनरी फ़ाइलों का विश्लेषण करना संभव बनाता है। उनकी तकनीक से उन्हें यह पता चलता है कि इन ऐप्स को किन पुस्तकालयों के साथ संकलित किया गया है, लेकिन कौन से संस्करणों उन पुस्तकालयों की। जैसा कि यह पता चला है, यह पहचानने के लिए अविश्वसनीय रूप से उपयोगी है कि कौन से ऐप ज्ञात बग और कमजोरियों से प्रभावित हो सकते हैं। जारी कागज के अनुसार,

“SourceDNA ने असुरक्षित कोड खोजने के लिए उनसे एक अंतर अंगुली की छाप बनाई। इसे विशिष्ट विशेषताओं के एक सेट के रूप में सोचें जो केवल लक्षित संस्करण में मौजूद या अनुपस्थित थे और इसके पहले या बाद में कोई अन्य नहीं। हस्ताक्षरों के इस सेट के साथ, हमारा विश्लेषण इंजन हमें बताएगा कि प्रत्येक ऐप में AFNetworking का कौन सा संस्करण उपयोग में था।

प्रभावित ऐप्स में से कई उपयोगकर्ता क्रेडिट कार्ड डेटा को संग्रहीत और संचारित करते हैं, जिसमें शामिल हैं 8. एप्लिकेशन को डाउनलोड करें, KYBankAgent 3.0, तथा रेवो रेस्तरां प्वाइंट ऑफ सेल। कई मिलियन उपयोगकर्ताओं के पास अपने आईओएस डिवाइस पर एक संवेदनशील ऐप इंस्टॉल किया गया है - इस तरह के एक संक्षिप्त बग से एक आश्चर्यजनक राशि।

“5% या लगभग 1,000 ऐप में दोष था। क्या ये ऐप महत्वपूर्ण हैं? हमने अपने रैंक डेटा के खिलाफ उनकी तुलना की और कुछ बड़े खिलाड़ियों को पाया: याहू!, माइक्रोसॉफ्ट, उबेर, सिट्रिक्स आदि। यह हमें आश्चर्यचकित करता है कि एक ओपन-सोर्स लाइब्रेरी जिसने केवल 6 सप्ताह के लिए एक सुरक्षा दोष का खुलासा किया लाखों उपयोगकर्ताओं पर हमला करने के लिए। ”

के प्रभाव का आकलन AFNetworking बग

यह भेद्यता कितनी बुरी है? बग हमलावरों को यह सोचकर ऐप्स को मूर्ख बनाने की अनुमति देता है कि वे एक विश्वसनीय सर्वर के साथ सुरक्षित कनेक्शन पर संवाद कर रहे हैं। यदि आप एक असुरक्षित ऐप का उपयोग कर रहे हैं, तो कोई भी उसी WiFi नेटवर्क पर, जैसा कि आप सेट अप कर सकते हैं बीच-बीच में हमला एक मध्य-मध्य हमला क्या है? सुरक्षा शब्दजाल समझाया गयायदि आपने "मैन-इन-द-मिडिल" हमलों के बारे में सुना है, लेकिन यह निश्चित नहीं है कि इसका क्या मतलब है, तो यह आपके लिए लेख है। अधिक पढ़ें और क्रेडिट कार्ड की जानकारी जैसे संवेदनशील डेटा सहित ऐप्स से जानकारी को रोकना। यह जानकारी तब सुविधा के लिए इस्तेमाल की जा सकती थी चोरी की पहचान डिजिटल पहचान की चोरी के 6 चेतावनी संकेत आपको नजरअंदाज नहीं करना चाहिएपहचान की चोरी इन दिनों बहुत कम नहीं होती है, फिर भी हम अक्सर इस सोच में पड़ जाते हैं कि यह हमेशा "किसी" के साथ ही होगा। चेतावनी के संकेतों को अनदेखा न करें। अधिक पढ़ें और धोखाधड़ी के अन्य रूप। संभावित रूप से, इस तरह के हमले को लोकप्रिय ऐप्स को लक्षित करने के लिए स्वचालित किया जा सकता है।

081,203-एन-2147L-390

Microsoft और Yahoo सहित कई कंपनियों ने समाचारों को अपडेट और फिक्स किया है। हालांकि, अधिकांश ऐप अनपेक्षित हैं। यह देखने के लिए कि क्या आपके द्वारा उपयोग किए जाने वाले ऐप्स प्रभावित हैं, आप SourceDNA खोज टूल का उपयोग कर सकते हैं। यदि आपको पता चलता है कि आपका एक ऐप अभी भी असुरक्षित है, तो सबसे सुरक्षित रणनीति इसे अस्थायी रूप से हटाना है, और डेवलपर्स को संदेश भेजकर उन्हें जल्द से जल्द पैच आउट करने को कहा है।

SourceDNA एक चतुर उपकरण है, और यह दर्शाता है कि उनकी तकनीक वास्तव में उपयोगी है। कंप्यूटर सुरक्षा कठिन है, और एक उपकरण जो अप्रकाशित बगों की तलाश की प्रक्रिया को स्वचालित कर सकता है - डेवलपर सहयोग के साथ या उसके बिना - उपयोगकर्ता सुरक्षा के लिए एक बड़ी जीत है। इस तरह की जाँच के बिना, यह व्यापक बग लगातार बना रहता, शायद काफी लंबे समय तक। इस तरह का विश्लेषण बड़े पैमाने पर सार्वजनिक छायांकन को सक्षम बनाता है जो डेवलपर्स को अधिक जवाबदेह बनाता है, और ऐसा लगता है कि SourceDNA आगे की अनिर्धारित और अनसुलझी समस्याओं को उजागर करेगा।

क्या आपका iOS डिवाइस AFNetworking बग से प्रभावित है? क्या आप इन नए एनालिटिक्स टूल से उत्साहित हैं? हमें टिप्पणियों में बताएं!

छवि क्रेडिट: “अमेरिकी नौसेना साइबरवार, "" IPhone सामने, "iPhone कैमरा“, विकिमीडिया द्वारा

दक्षिण पश्चिम में स्थित एक लेखक और पत्रकार, आंद्रे को 50 डिग्री सेल्सियस तक कार्यात्मक रहने की गारंटी है, और बारह फीट की गहराई तक जलरोधी है।