Logo ur.androidermagazine.com
Logo ur.androidermagazine.com
» لوازمات
لوازمات

آئیے بلو بورن کے بارے میں بات کرتے ہیں ، جو تازہ ترین بلوٹوت خطرے سے دوچار ہے۔

آئیے بلو بورن کے بارے میں بات کرتے ہیں ، جو تازہ ترین بلوٹوت خطرے سے دوچار ہے۔

فہرست کا خانہ:

Anonim

اس ہفتے کے شروع میں جب آرمس سیکیورٹی نے ایک نئے بلوٹوتھ استحصال کی تفصیلات شائع کیں تو ہم نے کچھ عمدہ اور خوفناک چیز (ہاں ، دونوں کا بیک وقت ایک ساتھ ہونا ممکن ہے) دیکھنے کو ملا۔ "بلیوبرن" کے نام سے پکارا ، استحصال سے ایک ایسے شخص کی اجازت ملتی ہے جو صحیح ٹولز رکھتا ہو اور جو آپ کی سمارٹ چیز - لیپ ٹاپ ، فون ، کار ، یا اینڈروئیڈ چلانے والی کوئی اور چیز (نیز بیشتر ہر آپریٹنگ سسٹم بشمول iOS اور ونڈوز) - صارف کی جانب سے بغیر کسی عمل کے آلہ پر کنٹرول حاصل کرنا۔

اس کی وجہ یہ ہے کہ استحصال سافٹ ویئر کے بڑے حصے پر چالاکی سے حملہ کرتا ہے جس سے بلوٹوتھ اسٹیک کو ہائی جیک کرنے کے ل a کوئی کنکشن قائم کیا جاسکتا ہے ، جو ایک آفاقی انداز میں کیا جاتا ہے کیونکہ بلوٹوتھ کتنا پیچیدہ ہے اور یہ اسٹیک خود ہی کتنے کاموں کو سنبھالتا ہے جس سے او ایس ہوسکتا ہے۔ اس کے بجائے کر رہے ہیں۔

ابھی دلچسپی ہے؟ اگر نہیں تو آپ کو ہونا چاہئے۔

اس سے پہلے کہ ہم آگے بڑھیں ، یہاں اچھی خبر (ایش) ہے: ایپل ، گوگل ، اور مائیکروسافٹ نے سب کو استحصال کا نشانہ بنایا ہے۔ اینڈروئیڈ کی طرف ، ہم نے اسی دن جاری کیے گئے حفاظتی پیچ میں فکس کو اسی دن جاری کیا جس کا خطرہ عوام کے سامنے کردیا گیا تھا۔ یہ یقینی طور پر ارمس کے لئے ان کمپنیوں کے ساتھ کام کرنے کا کوئی اتفاق اور احترام نہیں ہے جو سافٹ ویئر لکھتے ہیں جن کو ہم ہر دن استعمال کرتے ہیں اور اس کو طے کرنے کے ل. استعمال کرتے ہیں۔ یقینا. ، ہر اینڈروئیڈ سے چلنے والے آلہ میں ابھی تک یہ پیچ نہیں ہے اور تھوڑی دیر کے لئے نہیں ہوگا۔

میں ان سب کو اینڈروئیڈ کی تازہ کاری کی پریشانیوں اور لاکھوں ون مختلف وجوہات کے بارے میں بتانے کے لالچ کا مقابلہ کروں گا۔ میں صرف اتنا ہی کہوں گا کہ اگر آپ کو اس طرح کی سب سے زیادہ کمزوریوں سے محفوظ رکھنے کی قدر ہوتی ہے تو آپ کے پاس فی الحال تین آپشنز ہیں: بلیک بیری کا اینڈروئیڈ سے چلنے والا ڈیوائس ، گوگل سے ایک اینڈروئیڈ سے چلنے والا ڈیوائس ، یا آئی فون۔ آپ فیصلہ کریں کہ یہاں کیا کرنا ہے۔

اس کے بجائے آئیے بات کریں کہ بلو بورن کیا ہے اور یہ کیسے ہوتا ہے ، نیز آپ اس کے بارے میں کیا کرسکتے ہیں۔

بلوبرن کیا ہے؟

یہ دنیا کے تقریبا ہر سمارٹ آلہ پر چلنے والے بلوٹوتھ اسٹیک کے مختلف حصوں پر سادہ حملوں کا ایک سلسلہ ہے۔ 2 ارب اینڈرائیڈ فون بھی شامل ہے۔ یہ کوئی ایم آئ ٹی ایم (مین اِن دی مڈل) حملہ نہیں ہے ، جہاں کوئی آپ کے درمیان بلوٹوتھ ٹریفک روکتا ہے اور جس چیز سے آپ جڑ جاتے ہیں۔ اس کے بجائے ، یہ ایک آلہ کی حیثیت سے پیش کیا گیا ہے جو بلوٹوتھ کو دریافت کرنا اور ان سے رابطہ قائم کرنا چاہتا ہے لیکن کنکشن کی کوشش اس مرحلے تک پہنچنے سے پہلے استحصال ہوتا ہے جہاں صارف کو کام کرنے کی ضرورت ہوتی ہے۔

اس طرح کے لوگوں کے ل Android ، اینڈرائڈ پر استحصال کرنے کا طریقہ کار کا مختصر ورژن یہ ہے کہ حملہ آور نے ایک دریافت استفسار بھیج دیا ، پھر اسی مشین میں علیحدہ خدمت کے ل second دوسرے دریافت استفسار کے ٹائم اسٹیمپ اور سائز دونوں کو جوڑتا ہے۔ اس کی وجہ سے بفر زیربحث ہوتا ہے اور فیلسیف "صرف کام کرتا ہے" کے کنکشن کو متاثر کرنے کے لئے معیاری بلوٹوتھ سیکیورٹی مینجمنٹ پروٹوکول کو نظرانداز کرتا ہے۔ اگرچہ یہ پاگل لگتا ہے کہ یہ کام کرتا ہے ، یہ استحصال کے پہلے سے طے شدہ بلیو زیڈ اسٹیک ورژن سے بہتر ہے جو براہ راست اپ بفر اوور فلو ہے جو ہر کنیکشن چیک کو نظرانداز کرتا ہے۔ میں ان آپریٹنگ سسٹم کے استحصال کوڈ کی تجزیہ کرنے کے لئے ونڈوز یا آئی او ایس سے اتنا واقف نہیں ہوں ، لیکن اگر آپ ابتدائی پیراگراف میں لنک کو مار رہے ہیں اور اسے چیک کریں۔ تب تبصروں کو نشانہ بنائیں اور ہم سب کو بہتر طور پر سمجھنے میں مدد کریں۔

اگر آپ کوڈ کو تلاش نہیں کرتے (یہ ایک خاص قسم کی بیماری ہے ، میں تسلیم کرتا ہوں) مختصر مختصر ورژن یہ ہے کہ کمپیوٹر کے ساتھ بلوٹوتھ کنیکشن رکھنے والا شخص ٹرمینل میں کچھ لائنیں ٹائپ کر کے آپ کے فون سے رابطہ قائم کرسکتا ہے. اس کے ل connect جڑنا کتنا آسان ہے مضحکہ خیز ہے (ہم اس کے بعد اس کے بارے میں بات کریں گے) اور جو بھی اس طرح کے بارے میں محض ایک باخبر معلومات رکھتے ہیں وہ کرسکتا ہے۔ اسی لئے یہ ضروری تھا کہ جب تک ایپل ، گوگل ، اور مائیکروسافٹ کام کرنے کے قابل نہ ہوں ، ارمیس کی رہائی کا انعقاد کیا جائے۔

خوفناک حصہ وہ ہوتا ہے جو کنکشن بننے کے بعد ہوتا ہے۔ کوئی خفیہ جادوئی ایپ نہیں ہے جو آپ کے فون کی جڑیں اور آپ کے تمام ڈیٹا کو ہیک کرتی ہے۔ کسی بھی عمل کو اس سطح پر قابو پانے سے روکنا بہت آسان ہے ، اور اجازت اس کے ہونے سے روکتی ہے جب تک کہ کسی عمل تک اس سطح تک رسائی نہ ہو۔ اس کے بجائے ، حملہ آور لاگ ان صارف کے طور پر کام کرسکتا ہے۔ تم ہی ہو

8 بلین ڈیوائسز کے ساتھ جن کو مربوط ہونے کی ضرورت ہے ، بلوٹوتھ ان لوگوں کے لئے ایک بہت بڑا ہدف ہے جو ڈیٹا چوری کرنا چاہتے ہیں۔

مذکورہ بالا مثال کے ویڈیو میں ہم دیکھتے ہیں کہ حملہ آور نیند کے پکسل سے بلوٹوت ماؤس کنکشن قائم کر رہا ہے ، پھر وہی چیزیں کر رہا ہے جو آپ اسے اپنے ہاتھ میں تھامے ہوئے ہوسکتے تھے۔ ایپس کو شروع کیا جاسکتا ہے ، تصاویر ، ویڈیو اور آڈیو کو ریکارڈ کیا جاسکتا ہے ، اور آپ کی فائلوں کو براہ راست حملہ آور کے کمپیوٹر پر ڈاؤن لوڈ کیا جاسکتا ہے۔ آپ کے فون پر "رک جاؤ ، یہ ٹھنڈا نہیں ہے" کہنے کے لئے کچھ بھی نہیں ہے کیونکہ یہ اچھا ہے۔ اور آپ کا کوئی بھی ڈیٹا محفوظ نہیں ہے۔ اگر حملہ آور سینڈ باکسڈ ڈائریکٹری تک رسائی حاصل کرنے سے قاصر ہے تو ، وہ آسانی سے متعلقہ ایپ کھول سکتا ہے اور چل رہا ہے اس وقت اسکرین میں موجود چیزوں کی تصویر کھینچ سکتا ہے۔

اس سب کا مایوس کن حصہ یہی کام کرتا ہے۔ میں اس بارے میں بات نہیں کر رہا ہوں کہ اسٹیک کا استحصال کیسے ہوتا ہے اور کوئی ان کے راستے کو گراتا ہے ، میرا مطلب ہے کہ وسیع تر معنوں میں کیوں۔ سیکیورٹی کی نگرانی کرنے والے اور ان آپریٹنگ سسٹم سے ہٹ کر اس طرح کی باتیں لکھنے میں واقعی اچھ Whyے ماہر ماہروں سے کیوں اس قابل روکا جاسکتا ہے۔ اور جواب یہ ہے کہ ایسا اس لئے ہوا ہے کہ بلوٹوتھ ایک بہت بڑا ، پیچیدہ گندگی ہے۔

یہ بلوٹوتھ سگ کی (خصوصی دلچسپی گروپ) کی غلطی نہیں ہے ، یہاں تک کہ اگر آخرکار اس کی طرف توجہ دینا ان کی ذمہ داری ہے۔ بلوٹوتھ کا آغاز 1998 میں ایک آسان فاصلے وائرلیس کنکشن کے طور پر ہوا تھا۔ اب یہ دنیا بھر میں 8 بلین سے زیادہ آلات پر ہے اور خصوصیات اور پیچیدگی میں اس کی نشوونما اور نمو ہوتی ہے۔ اور اسے پسماندہ مطابقت پذیر ہونا پڑے گا ، لہذا جب اعلی درجے کی رابطے کے حفاظتی معیارات جیسی چیزوں کی بات کی جائے تو اس کے کچھ حصtionsوں کو اسی طرح چھوڑنا ہوگا۔ اگر ایک خفیہ شدہ جوڑ بنانے والا کلیدی کنکشن قائم نہیں کیا جاسکتا ہے تو ، اسے کچھ کم محفوظ کرنے کی کوشش کرنی ہوگی اور اس وقت تک کوشش کرنا جاری رکھنا چاہئے جب تک کہ اس سے رابطہ نہ ہوجائے ، کوشش کرنے کے طریقے ختم ہوجائیں ، یا سیکیورٹی مینجمنٹ کی خصوصیات نے اسے رکنے کو کہا۔ ایس ایم پی پرت کا استحصال کریں اور آپ میں ہوں۔ اور جیسے جیسے نئے فیچروں میں نئی ​​خصوصیات شامل ہوجاتی ہیں ، یہ اور خراب ہوتی جاتی ہے۔

ملکیتی سافٹ ویئر میں بھی کارنامے ہیں۔ ہمیں ابھی تک ان کے بارے میں نہیں معلوم جب تک کہ بہت دیر ہوجائے۔

آپریٹنگ سسٹم لکھنے والے افراد اور سیکیورٹی ٹیم جس کا کام اس کو توڑنا ہے وہ بھی یہاں تمام ذمہ داری میں اپنا حصہ لیں گے۔ یہاں مسئلہ یہ ہے کہ وہ بلوٹوتھ اسٹیک میں ناممکن پیچیدہ کوڈ کے ساتھ معاملہ کر رہے ہیں اور جب وہ اس چیز کو ایک چیز کے خلاف بنانے کی کوشش میں مصروف ہیں تو دوسری چیزوں کا بھی استحصال کیا جاسکتا ہے۔ ایپل اور مائیکروسافٹ کی طرح ، گوگل نے بھی لینکس کے لئے "ڈیفالٹ" بلوٹوتھ عمل درآمد میں بہتری لائی ہے۔ درمیانی حملے میں مبتلا شخص یا بلوٹوتھ پر منتظم کی اجازت حاصل کرنے کا طریقہ جیسے چیزوں کے خلاف آپ جو چیزیں استعمال کرتے ہیں وہ اچھی طرح سے محفوظ ہیں۔ اس کی وجہ یہ ہے کہ روایتی طور پر بلوٹوتھ کے استحصال کے طریقے سے یہ رہا ہے ، اور اس کے ہونے سے بچنے کے لئے ہمیشہ بہت سارے کام ہوتے ہیں۔

آخر میں ، یہ ایک عمدہ مثال ہے کہ اوپن سورس کوڈ کیوں بہت اچھا ہے۔ ارمیس کے محققین اس استحصال کو ڈھونڈنے میں کامیاب رہے تھے ، بالکل یہ دیکھتے ہیں کہ یہ کس طرح کام کرتا ہے اور قطعی طور پر یہ طے کرتا ہے کہ اس کو کس طرح پیچ لگانا ہے کیونکہ انہیں خود کوڈ تک رسائی حاصل ہے۔ اگرچہ ایپل اور مائیکروسافٹ ایک مکمل اوپن سورس بلوٹوتھ اسٹیک استعمال نہیں کرتے ہیں ، وہ بالکل جانتے ہیں کہ اپنے ورژن کو پیچ کرنے کے لئے کہاں دیکھنا ہے۔ اگر اس میں شامل ہر کمپنی بند ملکیتی کوڈ استعمال کرتی ہے تو پھر بھی اس استحصال کا وجود باقی رہ جاتا ، لیکن ہمیں اس کے بارے میں تب تک پتہ نہیں چل پائے گا جب تک کہ بہت دیر ہوچکی تھی اور دوسرے لوگ بھی اس کے بارے میں جانتے ہی نہیں۔

آپ کو اس کے بارے میں کیا کرنا چاہئے؟

ہر اس شخص کو پڑھنے والے کے پاس شاید ایک یا زیادہ بلوٹوتھ ڈیوائسز ہوں۔ آپ کی گھڑی ، آپ کا فون ، آپ کا لیپ ٹاپ ، اپنا ٹی وی اور فہرست جاری رہ سکتی ہے۔ بلوٹوتھ ہر جگہ اور تقریبا ہر چیز پر ہے۔ اس کا مطلب یہ ہے کہ آپ کے فون پر بلوٹوت کو فعال کرنے کا امکان ہے ، اور اگر آپ کا فون ابھی بھی غیر جوڑا ہے تو اس کے ل. خطرے میں پڑنے کے لئے صرف اتنا ہی لگتا ہے۔

یہاں بچت کرنے والا فضل یہ ہے کہ بلوٹوتھ ایک مختصر فاصلہ کنکشن کا معیار ہے۔ بلوٹوتھ 5 حد میں توسیع کرنے پر کام کر رہا ہے ، لیکن سگنل خراب ہونے سے پہلے آپ تقریبا 30 30 فٹ تک محدود ہیں۔ اس کا مطلب ہے کہ آپ واقعی میں صرف اس وقت خطرہ میں ہوں گے جب آپ اپنے فون میں داخل ہونے کی کوشش کرنے والے شخص کے 30 فٹ کے اندر ہوں۔

بلوٹوتھ کی قلیل رینج کا مطلب ہے کہ بلوبرن استحصال استعمال کرنے کے لئے حملہ آور کا آپ کے قریب ہونا ضروری ہے۔

اور جس طرح سے یہ استحصال کام کرتا ہے وہ خوفناک ہے ، لیکن اس کا مطلب یہ بھی ہے کہ شاید آپ اسے محسوس کریں گے۔ اگر آپ کا فون سو رہا ہے اور مقفل ہے ، تو حملہ آور پھر بھی رابطہ قائم کرسکتا ہے۔ لیکن جیسے ہی وہ آپ کے سامان تک رسائ حاصل کرنے یا مشکل پیدا کرنے اور قابو پانے کی کوشش کریں گے ، اسکرین روشن ہوجائے گی اور انہیں فون انلاک کرنے کی ضرورت ہوگی۔ ابھی کے لئے ، کم از کم ایک منٹ کے لئے بھی نہ سوچئے کہ لوگ اس کے آس پاس کے راستے پر کام نہیں کررہے ہیں کیونکہ وہ ہیں۔ اور وہ اسے پائیں گے ۔

میں آپ کو اپنے اسمارٹ واچ یا اپنے پسندیدہ بلوٹوتھ ہیڈسیٹ کا استعمال بند کرنے اور بلوٹوت کو مستقل طور پر بند کرنے کی تجویز کرنے نہیں جا رہا ہوں۔ لیکن ہم کچھ چیزیں ہیں جو ہم کسی پیچ کے منتظر ہوتے ہوئے بلوٹوتھ کے ذریعہ کسی کے داخلے میں مشکل پیدا کرنے کے ل to کر سکتے ہیں۔ اور ایک بار پھر - اگر آپ کے فون میں ستمبر 2017 کا حفاظتی پیچ ہے تو آپ محفوظ ہیں ۔

  • جب آپ اسے استعمال نہیں کررہے ہیں تو بلوٹوتھ بند کریں۔ آپ شاید گھر یا کام پر محفوظ ہیں ، لیکن اگر آپ بلوٹوتھ کو بند کرنے کی عادت میں آجاتے ہیں جب آپ کو ضرورت نہیں ہوتی ہے تو آپ اگلی بار اسٹار بکس جانے پر نہیں بھولیں گے۔ حملہ آور کے لئے بلوٹوتھ آن کرنے کا کوئی راستہ نہیں ہے۔ کم از کم ابھی نہیں۔
  • یقینی بنائیں کہ آپ کے پاس محفوظ لاک اسکرین موجود ہے۔ مردہ اسٹاپ۔ اگر آپ کے پاس پہلے سے ہی پاس ورڈ ، پن ، پیٹرن ، فنگر پرنٹ یا کوئی اور سیٹ اپ موجود نہیں ہے لہذا جب تک آپ خود اسے غیر مقفل نہیں کرتے ہیں تب تک آپ کا فون لاک ہوجاتا ہے۔
  • بھروسہ مند ڈیوائسز موجود ہونے پر اسے بند کردیں۔ credit ہندسوں والے پن میں ٹیپ کرنا یا اپنی آنکھوں کی گولیوں کو اسکین کرنا نئے کریڈٹ کارڈز حاصل کرنے اور اپنے بینک سے بات کرنے سے کہیں زیادہ آسان ہے ، یہاں تک کہ ایک بار۔ مجھ پر اعتماد کرو ، میں وہاں گیا ہوں۔ (شکریہ ، ہدف۔ بیوقوف ، قسم کھاتا ہوں۔)
  • اپنے فون کو بلاوجہ مت چھوڑیں۔ اسے اپنی جیب یا پرس میں رکھیں اور اپنے ساتھ لے جائیں یہاں تک کہ اگر آپ صرف ایک یا دو منٹ کے فاصلے پر جارہے ہیں۔
  • اگر آپ کو اسکرین آن ہوتا نظر آرہا ہے تو ، دیکھیں اور دیکھیں کہ کیوں۔ یہ استحصال میں سب سے بڑا "خامی" ہے۔ اگر آپ کے مربوط ہونے کے بعد کوئی بھی کچھ کرنے کی کوشش کرتا ہے تو یہ آپ کی اسکرین کو آن کر دے گا۔
  • جب آپ نے اپنا فون خریدا تھا تو اس کمپنی سے پوچھیں جب آپ کو اس کی اصلاح کے ل an اپ ڈیٹ کی توقع کرنی چاہئے۔ اچھی طرح سے پوچھنے سے یہ معلوم ہوتا ہے کہ آپ کو اس کی پرواہ ہے ، اور جب کافی لوگ دکھاتے ہیں تو وہ دیکھ بھال کرتے ہیں ایک کمپنی دیکھ بھال کرنے کا فیصلہ کرے گی۔ یہ پیچ اینڈروئیڈ 4.4 اور اس سے زیادہ چلنے والے ہر فون کے لئے دستیاب ہے۔

شاید وہاں لیپ ٹاپس اور ماؤنٹین وس سے لیس لوگوں کی فوج موجود نہیں ہے جو سڑکوں پر گشت کر رہے ہیں ، جو بلوٹوتھ کے ذریعے "تمام فون" ہیک کرنے کے لئے تیار ہے۔ لیکن وہی ایک آدمی ہوسکتا ہے ، اور وہ میکڈونلڈس یا لائبریری میں یا کہیں اور ہوسکتا ہے۔ اس طرح کے معاملات میں ، ہمیشہ محفوظ رہنا بہتر ہے کیونکہ جو کام ہم کرسکتے ہیں وہ بہت آسان ہیں۔

آپ کا سامان قابل ہے۔

لوازمات

ایڈیٹر کی پسند