Logo ur.androidermagazine.com
Logo ur.androidermagazine.com
» خبریں۔
خبریں۔

ہفتے کا سیکیورٹی خوف: کوئی اجازت نامے والا ایپ کیا کرسکتا ہے؟

ہفتے کا سیکیورٹی خوف: کوئی اجازت نامے والا ایپ کیا کرسکتا ہے؟
Anonim

اینڈروئیڈ سیکیورٹی کی کبھی نہ ختم ہونے والی کہانی میں تازہ ترین بات ختم ہوگئی ہے ، اور اس بار اس کے بارے میں بات کی جا رہی ہے کہ اگر کوئی ایپ اجازت نہیں دیتی ہے تو کوئی ایپ اس تک کس چیز تک رسائی حاصل کر سکتی ہے۔ (اسے ایک اور طرح سے دیکھنا ہے تو ، اگر یہ سبھی ایپلی کیشن دیکھ سکتا ہے کہ آیا وہ کسی بھی عام فعالیت کی ایپ کی درخواست کی درخواست نہیں کرتا ہے۔) کچھ لوگ اس کی فکر کرنے کی کوئی بات نہیں کرتے ہیں ، دوسروں نے اسے دنیا کو نقصان پہنچانے کی کوشش میں استعمال کیا ہے۔ سب سے زیادہ مقبول موبائل فون او ایس ، لیکن ہم اس کے ساتھ کرنے کا بہترین طریقہ بتاتے ہیں کہ کیا ہو رہا ہے۔

سیکیورٹی محققین کے ایک گروپ نے ایک ایسی ایپ بنانے کے لئے نکلا ہے جس میں یہ جاننے کے لئے کسی قسم کی اجازت نہیں ہے کہ وہ اس لوڈ ، اتارنا Android سسٹم سے کس طرح کی معلومات حاصل کرسکتا ہے۔ اس طرح کی چیز ہر روز کی جاتی ہے ، اور جتنا زیادہ مقبول ہدف ہوتا ہے ، لوگ اس کی طرف زیادہ دیکھتے ہیں۔ ہم واقعتا want چاہتے ہیں کہ وہ اس طرح کا کام کریں ، اور وقتا فوقتا لوگوں کو ایسی چیزیں ملیں جو اہم ہیں اور انھیں طے شدہ ضرورت ہے۔ ہر ایک کو فائدہ ہوتا ہے۔

اس بار ، انھوں نے پایا کہ بغیر کسی ایپ (جیسے کوئی بھی نہیں ، نڈا ، زِلچ) اجازت نہیں رکھتا ہے ، وہ تین انتہائی دلچسپ کام کرسکتا ہے۔ کوئی بھی سنجیدہ نہیں ہے ، لیکن سب تھوڑا سا دیکھنے کے لائق ہیں۔ ہم ایسڈی کارڈ سے شروعات کریں گے۔

کوئی بھی ایپ آپ کے SD کارڈ پر موجود ڈیٹا کو پڑھ سکتی ہے ۔ یہ ہمیشہ اس طرح رہا ہے ، اور یہ ہمیشہ اسی طرح ہوتا رہے گا۔ (ایس ڈی کارڈ پر تحریری طور پر اجازت کی ضرورت ہوتی ہے۔) محفوظ ، پوشیدہ فولڈر بنانے اور انہیں دوسرے ایپس سے بچانے کے لئے افادیت دستیاب ہوتی ہے ، لیکن کسی بھی ایپ کو دیکھنے کے لئے ایس ڈی کارڈ پر لکھا ہوا ڈیٹا بطور ڈیفالٹ ہوتا ہے۔ یہ ڈیزائن کے ذریعہ ہے ، کیونکہ جب ہم اپنے کمپیوٹر کو ان میں پلگ کرتے ہیں تو شیئر کرنے والے پارٹیشنس (جیسے SD کارڈز) پر موجود تمام ڈیٹا تک رسائی حاصل کرنے کی اجازت دینا چاہتے ہیں۔ اینڈرائڈ کے نئے ورژن تقسیم کرنے کا ایک مختلف طریقہ اور ڈیٹا کو شیئر کرنے کے لئے ایک مختلف طریقے کا استعمال کرتے ہیں جو دور منتقل ہوتا ہے اس سے ، لیکن پھر ہم سب ایم ٹی پی کو استعمال کرنے میں دلچسپی لیتے ہیں۔ (جب تک آپ فل نہیں ہو ، لیکن وہ پسند کردہ ایم ٹی پی پر تھوڑا سا گری دار میوے ہیں۔) یہ ایک آسان فکس ہے - اپنے ایسڈی کارڈ پر حساس ڈیٹا مت لگائیں۔ ایسے ایپس کا استعمال نہ کریں جو آپ کے SD کارڈ پر حساس ڈیٹا لگائیں۔ پھر پروگراموں کو دیکھنے کے قابل ہونے کے بارے میں فکر کرنا چھوڑ دیں جس کے بارے میں وہ سمجھا جاتا ہے۔

اگلی چیز جو انھیں ملی وہ واقعی دلچسپ ہے اگر آپ گیک ہیں۔ کوئی /data/system/packages.list فائل کو بغیر کسی اجازت کے پڑھ سکتا ہے۔ اس سے خود کو کوئی خطرہ نہیں ہے ، لیکن یہ جاننے کے لئے کہ صارف نے کن ایپلی کیشنز کو انسٹال کیا ہے ان کے فون یا ٹیبلٹ میں سمجھوتہ کرنے کے ل what کون سے استحصال کارآمد ثابت ہوسکتے ہیں۔ دوسرے ایپس میں موجود کمزوریوں کے بارے میں سوچئے - محققین نے جو مثال استعمال کی وہ اسکائپ تھی۔ یہ جانتے ہوئے کہ وہاں استحصال موجود ہے اس کا مطلب ہے کہ حملہ آور اسے نشانہ بنانے کی کوشش کرسکتا ہے۔ یہ بات قابل ذکر ہے کہ کسی نامعلوم غیر محفوظ ایپ کو نشانہ بنانا شاید اس کے ل some کچھ اجازتوں کی ضرورت ہوگی۔ (اور یہ لوگوں کو یاد دلانے کے قابل بھی ہے کہ اسکائپ نے جلدی سے اسے تسلیم کرلیا اور اس کی اجازت کا مسئلہ طے کرلیا۔)

آخر میں ، انہوں نے دریافت کیا کہ / پراڈک ڈائریکٹری جب کچھ پوچھا جاتا ہے تو تھوڑا سا ڈیٹا دیتا ہے۔ ان کی مثال سے پتہ چلتا ہے کہ وہ Android ID ، کرنیل ورژن ، اور ROM ورژن جیسی چیزیں پڑھ سکتے ہیں۔ / پرو ڈائرکٹری میں بہت زیادہ چیزیں مل سکتی ہیں ، لیکن ہمیں یہ یاد رکھنا ضروری ہے کہ / proc اصل فائل سسٹم نہیں ہے۔ روٹ ایکسپلورر کے ساتھ اپنے دیکھو - یہ 0 بائٹ فائلوں سے بھری ہوئی ہے جو رن ٹائم کے وقت بنتی ہے ، اور ایپس اور سافٹ ویئر کے لئے تیار کی گئی ہے کہ وہ چلنے والی دانی کے ساتھ بات چیت کرسکیں۔ وہاں کوئی حقیقی حساس ڈیٹا محفوظ نہیں ہے ، اور جب فون بجلی سے چلتا ہے تو یہ سب مٹ جاتا ہے اور دوبارہ لکھا جاتا ہے۔ اگر آپ پریشان ہیں کہ کوئی آپ کا دانا ورژن یا 16 ہندسوں کا اینڈرائیڈ ID تلاش کرسکتا ہے تو پھر بھی آپ کو انٹرنیٹ کی اجازت کے بغیر اجازت کہیں بھی بھیجنے میں رکاوٹ ہے۔

ہمیں خوشی ہے کہ لوگ اس طرح کے معاملات کو تلاش کرنے کے لئے گہری کھدائی کررہے ہیں ، اور اگرچہ یہ کسی سنجیدہ تعریف کے ذریعہ تنقیدی نہیں ہیں تو ، گوگل کو ان سے آگاہ کرنا اچھا ہے۔ اس طرح کے کام کرنے والے محققین صرف ہم سب کے لئے چیزوں کو محفوظ اور بہتر بناسکتے ہیں۔ اور ہمیں اس نکتہ پر زور دینے کی ضرورت ہے کہ لیویتھان کے فیلو فتنے اور غم و غصے کی بات نہیں کر رہے ہیں ، وہ صرف حقائق کو ایک مفید انداز میں پیش کررہے ہیں۔ عذاب اور گھبراہٹ بیرونی ذرائع سے آرہی ہے۔

ماخذ: لیویتھن سیکیورٹی گروپ۔

خبریں۔

ایڈیٹر کی پسند