Logo ur.androidermagazine.com
Logo ur.androidermagazine.com
» خبریں۔
خبریں۔

مہاکاوی کے پہلے قلعہ باز انسٹالر نے ہیکرز کو خاموشی سے آپ کے android ڈاؤن لوڈ ، فون پر کچھ بھی ڈاؤن لوڈ اور انسٹال کرنے کی اجازت دی۔

مہاکاوی کے پہلے قلعہ باز انسٹالر نے ہیکرز کو خاموشی سے آپ کے android ڈاؤن لوڈ ، فون پر کچھ بھی ڈاؤن لوڈ اور انسٹال کرنے کی اجازت دی۔

فہرست کا خانہ:

Anonim

گوگل نے ابھی عوامی طور پر انکشاف کیا ہے کہ اس نے اینڈرائیڈ کے لئے ایپک کے پہلے فورٹناٹ انسٹالر میں ایک انتہائی سنگین خطرہ دریافت کیا ہے جس نے آپ کے فون پر کسی بھی ایپ کو پس منظر میں کسی بھی چیز کو ڈاؤن لوڈ اور انسٹال کرنے کی اجازت دی ہے ، بشمول صارف کی معلومات کے بغیر مکمل اجازت نامے والے ایپس کو بھی۔ گوگل کی سیکیورٹی ٹیم نے سب سے پہلے 15 اگست کو ایپک گیمز میں نجی طور پر اس خطرے کا انکشاف کیا ، اور اس کے بعد ایپک کی تصدیق کے بعد یہ معلومات عوامی طور پر جاری کردی ہے کہ اس خطرے کو ختم کردیا گیا ہے۔

مختصرا exactly ، یہ بالکل اس طرح کا استحصال تھا جس کا اندرا اینڈروئیڈ سنٹرل ، اور دیگر لوگوں کو اس طرح کے انسٹالیشن سسٹم کے ساتھ ہونے کا خدشہ تھا۔ اس خطرے کے بارے میں آپ کو جاننے کی ضرورت ہے ، اور اس بات کو کیسے یقینی بنائیں کہ آپ آگے بڑھیں گے۔

خطرات کیا ہے اور یہ اتنا خراب کیوں ہے؟

جب آپ "فورٹناائٹ" ڈاؤن لوڈ کرنے جاتے ہیں تو آپ حقیقت میں پورا گیم ڈاؤن لوڈ نہیں کرتے ہیں ، آپ پہلے فورٹناٹ انسٹالر ڈاؤن لوڈ کرتے ہیں۔ فورٹناائٹ انسٹالر ایک سادہ ایپ ہے جسے آپ ڈاؤن لوڈ اور انسٹال کرتے ہیں ، جس کے بعد مکمل فورٹناٹ گیم کو براہ راست ایپک سے ڈاؤن لوڈ کیا جاتا ہے۔

فورکٹائٹ انسٹالر مکمل گیم ڈاؤن لوڈ کرنے کی درخواست ہائی جیک کرنے کے لئے آسانی سے فائدہ مند تھا۔

جیسا کہ گوگل کی سیکیورٹی ٹیم نے دریافت کیا ، یہ تھا کہ فورٹناٹ انسٹالر بہت آسانی سے استحصال کرتا تھا تاکہ فورکائٹ کو مہاکاوی سے ڈاؤن لوڈ کرنے کی درخواست کو ہائی جیک کیا جاسکے اور جب آپ گیم ڈاؤن لوڈ کرنے کے لئے بٹن کو تھپتھپاتے ہو تو کچھ بھی ڈاؤن لوڈ کرتے تھے۔ اسے "مین ان ان ڈسک" حملے کے نام سے جانا جاتا ہے: آپ کے فون پر ایک ایپ انٹرنیٹ سے کچھ ڈاؤن لوڈ کرنے کی درخواستوں کی تلاش کرتی ہے اور اس میں مداخلت کرتی ہے جو اصل ڈاؤن لوڈ کرنے والے ایپ سے ناواقف ہے۔ یہ خالصتا possible اس لئے ممکن ہے کیونکہ فورٹناائٹ انسٹالر کو غلط طریقے سے ڈیزائن کیا گیا تھا - فارٹونائٹ انسٹالر کو اندازہ نہیں ہے کہ اس نے مالویئر ڈاؤن لوڈ کرنے میں آسانی کی ہے ، اور "لانچ" کو تھپتھپاتے ہوئے بھی میلویئر لانچ کیا ہے۔

استحصال کرنے کے ل you ، آپ کو اپنے فون پر ایک ایپ انسٹال کرنے کی ضرورت ہوگی جو اس طرح کے خطرے کی تلاش کر رہا تھا - لیکن فورٹناٹ کی مقبولیت اور رہائی کی توقع کے پیش نظر ، اس بات کا زیادہ امکان ہے کہ وہاں غیر موزوں ایپس موجود ہیں جو موجود ہیں بس کر رہا ہوں۔ فون پر انسٹال ہونے والی کئی دفعہ بدنیتی ایپس کا ان کا ایک بھی استحصال نہیں ہوتا ہے ، ان کے پاس پوری طرح سے پے لوڈ ہوتا ہے جس کی جانچ کرنے کے لئے وہ بہت سے معروف خطرات سے بھرا ہوتا ہے ، اور اس قسم کا حملہ ان میں سے ایک ہوسکتا ہے۔

ایک نل کے ذریعہ ، آپ ایک بدنیتی پر مبنی ایپ ڈاؤن لوڈ کرسکتے ہیں جس کے پاس مکمل اجازت اور آپ کے فون پر موجود تمام ڈیٹا تک رسائی حاصل ہے۔

یہاں وہیں ہیں جہاں معاملات واقعی خراب ہوجاتے ہیں۔ اینڈرائڈ کے اجازت نامے کے ماڈل کے کام کرنے کے طریقے کی وجہ سے ، آپ کو فورٹنائٹ کے ل that اس انسٹالیشن کو قبول کرنے کے بعد "نامعلوم ذرائع" سے کسی ایپ کی تنصیب قبول نہیں ہوگی۔ جس طرح سے یہ استحصال کام کرتا ہے اس کی وجہ سے ، انسٹالیشن کے عمل کے دوران کوئی اشارہ نہیں ملتا ہے کہ آپ فورٹناائٹ (اور فورٹناٹ انسٹالر کو بھی کوئی معلومات نہیں ہے) کے علاوہ کوئی اور چیز ڈاؤن لوڈ کررہے ہیں ، جبکہ پس منظر میں ایک بالکل مختلف ایپ انسٹال ہو رہی ہے۔ یہ سب فورٹناٹ انسٹالر سے ایپ کو انسٹال کرنے کے متوقع بہاؤ کے اندر ہوتا ہے - آپ انسٹالیشن کو قبول کرتے ہیں ، کیونکہ آپ کو لگتا ہے کہ آپ گیم انسٹال کر رہے ہیں۔ سیمسنگ فونز پر ، جو کہکشاں ایپس سے ایپ حاصل کرتے ہیں ، خاص طور پر ، معاملات قدرے خراب ہیں: یہاں تک کہ "نامعلوم ذرائع" سے اجازت دینے کا پہلا اشارہ بھی نہیں ہے کیونکہ کہکشاں ایپس ایک معروف ذریعہ ہے۔ مزید معلومات کے مطابق ، وہ ایپ جو ابھی خاموشی سے انسٹال کی گئی تھی اس کا اعلان کرسکتی ہے اور آپ کی مزید رضامندی کے بغیر ہر ممکن اجازت فراہم کی جاسکتی ہے۔ اس سے کوئی فرق نہیں پڑتا ہے کہ آپ کے پاس اینڈروئیڈ لولیپپ یا اینڈروئیڈ پائی والا فون ہے ، یا آپ نے فورٹناٹ انسٹالر انسٹال کرنے کے بعد "نامعلوم ذرائع" بند کردیئے ہیں - جیسے ہی آپ نے اسے انسٹال کیا ، آپ پر ممکنہ طور پر حملہ ہوسکتا ہے۔

اس استحصال کے لئے گوگل کے ایشو ٹریکر کے صفحے میں ایک تیز اسکرین ریکارڈنگ موجود ہے جس میں دکھایا گیا ہے کہ گیلکسی ایپس اسٹور سے ایک صارف فورٹناٹ انسٹالر کو کس طرح آسانی سے ڈاؤن لوڈ اور انسٹال کرسکتا ہے ، اور سوچتا ہے کہ وہ فورٹنائٹ ڈاؤن لوڈ کرتے ہوئے اس کی بجائے کسی بدنیتی پر مبنی انسٹال کر رہا ہے۔ ایپ ، مکمل اجازت کے ساتھ - کیمرہ ، مقام ، مائکروفون ، ایس ایم ایس ، اسٹوریج اور فون - جسے "فورٹناائٹ" کہا جاتا ہے۔ اس میں کچھ سیکنڈ لگتے ہیں اور صارف کا تعامل نہیں ہوتا ہے۔

ہاں ، یہ بہت خراب ہے۔

آپ یہ کیسے یقینی بنائیں گے کہ آپ محفوظ ہیں۔

شکر ہے ، مہاکاوی نے استحصال کو درست کرنے کے ل quickly فوری عمل کیا۔ ایپک کے مطابق ، استحصال کو مطلع کرنے کے 48 گھنٹوں سے بھی کم وقت کے اندر طے کیا گیا تھا اور اسے ہر فورٹناٹ انسٹالر میں لگایا گیا تھا جو پہلے انسٹال کیا گیا تھا - صارفین کو صرف انسٹالر کو اپ ڈیٹ کرنے کی ضرورت ہے ، جو ایک ٹاپ معاملہ ہے۔ فورکٹائٹ انسٹالر جو فکس لے کر آیا ہے اس کا ورژن 2.1.0 ہے ، جسے آپ فارٹونائٹ انسٹالر لانچ کرکے اور اس کی سیٹنگ میں جاکر چیک کرسکتے ہیں۔ اگر آپ کسی بھی وجہ سے فورٹناائٹ انسٹالر کا سابقہ ​​ورژن ڈاؤن لوڈ کرنا چاہتے ہیں تو ، یہ آپ کو فورٹناٹ انسٹال کرنے سے پہلے 2.1.0 (یا بعد میں) انسٹال کرنے کا اشارہ کرے گا۔

اگر آپ کے پاس ورژن 2.1.0 یا بعد کا ہے تو ، آپ اس خاص خطرے سے محفوظ ہیں۔

ایپک گیمز نے اس خطرے سے متعلق اس بارے میں معلومات جاری نہیں کی ہے کہ اس بات کی تصدیق کرنے سے باہر کہ یہ انسٹالر کے ورژن 2.1.0 میں طے ہوچکا ہے ، لہذا ہم نہیں جانتے کہ جنگل میں اس کا فعال استحصال کیا گیا تھا۔ اگر آپ کا فورٹناٹ انسٹالر تازہ ترین ہے ، لیکن آپ کو ابھی بھی اس بات کی فکر ہے کہ آیا آپ اس خطرے سے متاثر ہوئے ہیں تو ، آپ فورٹناائٹ اور فورٹناائٹ انسٹالر کو ان انسٹال کرسکتے ہیں ، پھر انسٹالیشن کے عمل سے دوبارہ اس بات کو یقینی بنائیں کہ آپ کا فورٹائناٹ انسٹالیشن جائز ہے۔ امید ہے کہ اگر کسی میلویئر کو انسٹال کیا گیا ہو تو اس کی شناخت کے ل Google آپ گوگل پلے پروٹیکٹ کے ذریعہ اسکین بھی چلا سکتے ہیں۔

گوگل کے ترجمان نے اس صورتحال پر مندرجہ ذیل تبصرہ کیا:

صارف کی حفاظت ہماری اولین ترجیح ہے ، اور میلویئر کے لئے ہماری فعال نگرانی کے ایک حصے کے طور پر ہم نے فورٹناٹ انسٹالر میں ایک خطرے کی نشاندہی کی۔ ہم نے فورا. ہی ایپک گیمز کو مطلع کیا اور انہوں نے اس مسئلے کو طے کرلیا۔

ایپک گیمز نے سی ای او ٹم سویینی کا مندرجہ ذیل تبصرہ پیش کیا:

ایپک نے اینڈروئیڈ پر ہماری رہائی کے فورا. بعد فورٹناائٹ کا گہرا سیکیورٹی آڈٹ انجام دینے کی گوگل کی کوشش کی سراہا ، اور نتائج کو ایپک کے ساتھ شیئر کیا تاکہ ہم ان کے دریافت ہونے والی خامی کو جلد از جلد اپ ڈیٹ جاری کرسکیں۔

تاہم ، گوگل کی طرف سے اس خامی کی تکنیکی تفصیلات کو اتنی جلدی سے انکشاف کرنا غیر ذمہ دارانہ تھا جب کہ بہت ساری تنصیبات ابھی تک اپ ڈیٹ نہیں ہوسکیں تھیں اور وہ اب بھی خطرے سے دوچار ہیں۔

ایک مہاکاوی سیکیورٹی انجینئر ، میری درخواست پر ، گوگل نے عام 90 دن تک عوامی انکشاف میں تاخیر کی درخواست کی تاکہ اپ ڈیٹ کو زیادہ وسیع پیمانے پر انسٹال کرنے کے لئے وقت دیا جائے۔ گوگل نے انکار کردیا۔ آپ یہ سب https://issuetracker.google.com/issues/112630336 پر پڑھ سکتے ہیں۔

گوگل کی سیکیورٹی تجزیہ کی کوششوں کو سراہا گیا ہے اور اینڈروئیڈ پلیٹ فارم کو فائدہ پہنچانا ہے ، تاہم اتنی طاقت ور کمپنی کو گوگل کو اس سے زیادہ ذمہ دار انکشاف کے وقت پر عمل کرنا چاہئے ، اور ای پی پی کی جانب سے گوگل پلے کے باہر فورکٹائٹ کی تقسیم کے خلاف انسداد PR کوششوں کے دوران صارفین کو خطرہ نہیں ہونا چاہئے۔.

ہوسکتا ہے کہ گوگل نے مہاکاوی کے ذہن میں شارک کود لیا ہو ، لیکن اس عمل نے 0 دن کے خطرات کے انکشاف کے بارے میں گوگل کی پالیسی پر واضح طور پر عمل کیا ہے۔

ہم نے اس عمل سے کیا سیکھا۔

میں اب کچھ برسوں سے اینڈرائیڈ سنٹرل پر کہی جانے والی بات کا اعادہ کروں گا: یہ آپ کے بھروسہ مند کمپنیوں اور ڈویلپرز کی جانب سے صرف ایپس انسٹال کرنا ناقابل یقین حد تک اہم ہے۔ اس کا استحصال ، جتنا خراب ہے ، اب بھی اس کی ضرورت ہے کہ آپ دونوں فورٹناٹ انسٹالر انسٹال کریں اور ایک اور بدنیتی پر مبنی ایپ لگائیں جو مزید نقصان دہ میلویئر ڈاؤن لوڈ کرنے کی درخواست کرے گی۔ فورٹناائٹ کی بڑے پیمانے پر مقبولیت کے ساتھ ، اس بات کا کافی امکان ہے کہ وہ حلقے اوورپلائپ ہوجاتے ہیں ، لیکن آپ کو ایسا کرنے کی ضرورت نہیں ہے۔

یہ بالکل اسی طرح کی کمزوری کا خدشہ ہے جس کے بارے میں ہم پریشان تھے ، اور یکم یوم کو ہوا۔

پلے اسٹور کے باہر فورٹناائٹ انسٹال کرنے کے فیصلے کے آغاز سے ہی ہماری ایک پریشانی یہ تھی کہ اس کھیل کی مقبولیت لوگوں کی عمومی سمجھداری کو اپنے ایپس کے لئے پلے اسٹور پر قائم رہنے کی طاقت دے گی۔ یہ اس قسم کی کمزوری ہے جو شاید پلے اسٹور پر جانے کے جائزے کے عمل میں پھنس جاتی ہے ، اور کسی بڑی تعداد میں لوگوں نے اسے ڈاؤن لوڈ کرنے سے پہلے ہی طے کرلیا تھا۔ اور آپ کے فون پر گوگل پلے پروٹیکٹ کی مدد سے ، اگر Google اس ایپ کو کبھی بھی جنگل میں بنا دیتا ہے تو ، دور سے اسے ختم کرکے ان انسٹال کرسکے گا۔

اس کے حصے کے لئے ، گوگل اب بھی اس خطرے کو پکڑنے میں کامیاب رہا ہے حالانکہ ایپلی کیشن کو Play Store کے ذریعے تقسیم نہیں کیا جارہا ہے۔ ہم پہلے ہی جانتے ہیں کہ گوگل پلے پروٹیکٹ آپ کے فون پر ایپس کو اسکین کرنے کے قابل ہے یہاں تک کہ اگر وہ براہ راست ویب یا کسی اور ایپ اسٹور سے انسٹال ہوا تھا ، اور اس معاملے میں اس عمل کی گوگل میں ایک باصلاحیت سکیورٹی ٹیم نے حمایت حاصل کی ہے جس نے اس خطرے کو پایا اور رپورٹ کیا۔ یہ ڈویلپر کے لئے۔ یہ عمل عام طور پر کسی دھوم دھام کے پس منظر میں ہوتا ہے ، لیکن جب ہم لاکھوں تنصیبات کے ساتھ فورٹناائٹ جیسی ایپ کے بارے میں بات کر رہے ہیں تو ، اس سے یہ ظاہر ہوتا ہے کہ گوگل اینڈرائیڈ میں سیکیورٹی کو کس قدر سنجیدگی سے لے جاتا ہے۔

تازہ کاری: اس مضمون کو استحصال سے متعلق واضح معلومات کے ساتھ ساتھ ایپک گیمز کے سی ای او ٹم سویینی کے ایک تبصرہ کے ساتھ تازہ کاری کی گئی ہے۔

خبریں۔

ایڈیٹر کی پسند