ओन्ड्रेज होल्ज़मैन असावधान और लापरवाह iOS उपयोगकर्ताओं को अतिरिक्त खतरों का सामना करना पड़ता है। खोज के ठीक एक सप्ताह बाद वायरलर्कर मैलवेयर सुरक्षा कंपनी फायरआई ने घोषणा की है कि उसने आईफोन और आईपैड में एक और सुरक्षा छेद खोजा है जिस पर "मैस्क अटैक" नामक तकनीक का उपयोग करके हमला किया जा सकता है। यह नकली तृतीय-पक्ष एप्लिकेशन के माध्यम से मौजूदा एप्लिकेशन का अनुकरण या प्रतिस्थापित कर सकता है और बाद में उपयोगकर्ता डेटा प्राप्त कर सकता है।
जो लोग विशेष रूप से ऐप स्टोर के माध्यम से iOS उपकरणों के लिए एप्लिकेशन डाउनलोड करते हैं, उन्हें मास्क अटैक से डरना नहीं चाहिए, क्योंकि नया मैलवेयर इस तरह से काम करता है कि उपयोगकर्ता आधिकारिक सॉफ़्टवेयर स्टोर के बाहर एक एप्लिकेशन डाउनलोड करता है, जिसे एक धोखाधड़ी वाला ई-मेल या संदेश (उदाहरण के लिए, जिसमें लोकप्रिय गेम फ्लैपी बर्ड का नया संस्करण डाउनलोड लिंक है, नीचे वीडियो देखें)।
एक बार जब उपयोगकर्ता धोखाधड़ी वाले लिंक पर क्लिक करता है, तो उन्हें एक वेब पेज पर ले जाया जाएगा जो उन्हें एक ऐप डाउनलोड करने के लिए कहेगा जो फ़्लैपी बर्ड जैसा दिखता है, लेकिन वास्तव में जीमेल का एक नकली संस्करण है जो ऐप स्टोर से वैध रूप से डाउनलोड किए गए मूल ऐप को फिर से इंस्टॉल करता है। एप्लिकेशन उसी तरह से व्यवहार करना जारी रखता है, यह बस अपने आप में एक ट्रोजन हॉर्स अपलोड करता है, जो इससे सभी व्यक्तिगत डेटा प्राप्त करता है। यह हमला न केवल जीमेल से संबंधित हो सकता है, बल्कि, उदाहरण के लिए, बैंकिंग अनुप्रयोगों से भी संबंधित हो सकता है। इसके अलावा, यह मैलवेयर उन अनुप्रयोगों के मूल स्थानीय डेटा तक भी पहुंच सकता है जो पहले ही हटाए जा चुके हैं, और उदाहरण के लिए, कम से कम सहेजे गए लॉगिन क्रेडेंशियल प्राप्त कर सकते हैं।
[यूट्यूब आईडी=”76ogdpbBlsU” चौड़ाई=”620″ ऊंचाई=”360″]
नकली संस्करण मूल ऐप की जगह ले सकते हैं क्योंकि उनके पास वही विशिष्ट पहचान संख्या होती है जो ऐप्पल ऐप्स को देता है, और उपयोगकर्ताओं के लिए एक को दूसरे से अलग करना बहुत मुश्किल होता है। छिपा हुआ नकली संस्करण तब ई-मेल संदेश, एसएमएस, फोन कॉल और अन्य डेटा रिकॉर्ड करता है, क्योंकि आईओएस समान पहचान डेटा वाले अनुप्रयोगों के खिलाफ हस्तक्षेप नहीं करता है।
मास्क अटैक सफारी या मेल जैसे डिफॉल्ट आईओएस ऐप्स की जगह नहीं ले सकता है, लेकिन यह ऐप स्टोर से डाउनलोड किए गए अधिकांश ऐप्स पर आसानी से हमला कर सकता है और संभावित रूप से पिछले हफ्ते खोजे गए वायरलकर से भी बड़ा खतरा है। ऐप्पल ने वायरलर्कर पर तुरंत प्रतिक्रिया व्यक्त की और कंपनी के प्रमाणपत्रों को अवरुद्ध कर दिया जिनके माध्यम से एप्लिकेशन इंस्टॉल किए गए थे, लेकिन मास्क अटैक मौजूदा एप्लिकेशन में घुसपैठ करने के लिए विशिष्ट पहचान संख्याओं का उपयोग करता है।
सुरक्षा फर्म फायरआई ने पाया कि मास्क अटैक iOS 7.1.1, 7.1.2, 8.0, 8.1 और 8.1.1 बीटा पर काम करता है और कहा जाता है कि Apple ने इस साल जुलाई के अंत में समस्या की सूचना दी थी। हालाँकि, उपयोगकर्ता खुद को संभावित खतरे से बहुत आसानी से बचा सकते हैं - बस ऐप स्टोर के बाहर कोई एप्लिकेशन इंस्टॉल न करें और ई-मेल और टेक्स्ट संदेशों में कोई भी संदिग्ध लिंक न खोलें। Apple ने अभी तक सुरक्षा खामी पर कोई टिप्पणी नहीं की है.
Apple का साल ख़राब चल रहा है। लचीले फोन, फोन से कॉल करने की असंभवता, सुअर की तरह सुरक्षा छेद, योसेमाइट में अर्ध-कार्यात्मक वाईफाई (यह हर निर्माण का रंग है)। वे दिन कहाँ गए जब Apple ने सब कुछ सही किया? मैं जानता हूं, यह एस. जॉब्स की मृत्यु से पहले की बात है...
हालाँकि, उपयोगकर्ता खुद को संभावित खतरे से बहुत आसानी से बचा सकते हैं - बस ऐप स्टोर के बाहर कोई एप्लिकेशन इंस्टॉल न करें और ई-मेल और टेक्स्ट संदेशों में कोई भी संदिग्ध लिंक न खोलें।
लेकिन यह फिर भी काम नहीं आया, क्योंकि अगर यह काम करता, तो मैलवेयर और वायरस आज मौजूद ही नहीं होते :)
यह "अवज्ञाकारी लोगों" के लिए काम नहीं करता है, जिनसे चेक गणराज्य भरा हुआ है, और यही कारण है कि कानून और विशेष रूप से सड़क कानून उनके लिए सिर्फ एक मजाक हैं, और अनौपचारिक सॉफ्टवेयर के बारे में इस सिफारिश को न सुनना भी एक रास्ता है विनाश। यदि भ्रष्ट मानसिकता नहीं होती तो यह काम करता;)
मैं सड़क कानूनों को शामिल नहीं करूंगा, दुर्भाग्य से वे हमारी सड़कों को सुरक्षित बनाने के लिए नहीं लिखे गए हैं, बल्कि नगर निगम पुलिस का समर्थन करने और आय का समर्थन करने के लिए लिखे गए हैं यदि यह नगर निगम के खजाने में जाता है :((((
लेकिन यहाँ चर्चा उस पर नहीं है :)
मुझे लोगों की मानसिकता में अधिक रुचि है, विशेषकर चेक गणराज्य के लोगों की। यदि सिगरेट के 1 पैकेट के बजाय उन्होंने 90 सेंट के प्रत्येक के लिए 4 ऐप्स खरीदे और उन्हें अनौपचारिक स्रोतों से डाउनलोड नहीं किया और अपने आईफ़ोन को जेलब्रेक नहीं किया, तो उन्हें अपने महंगे डिवाइस खोने के बारे में रोना नहीं पड़ेगा :)
बेशक, यह पूरा सूत्र बकवास भविष्यवाणी के जवाब में बनाया गया था: "जॉब्स की मृत्यु के बाद से, सब कुछ ठीक चल रहा है, और विशेष रूप से इस वर्ष"
मुझे तुलना पसंद नहीं आई। पिछले 2 वर्षों में, मेरे दोस्तों को धन्यवाद, मैं इस विषय में फंस गया और मुझे पसंद नहीं आया कि वहां क्या हो रहा है और यह कभी-कभी वास्तव में घृणित होता है :(
मैं स्वीकार करता हूं कि मंच पर पोस्ट की गई मेरी प्रतिक्रिया गुस्से भरी हो सकती है, लेकिन वह मैं हूं, मैं बिना किसी तामझाम के सीधे मुद्दे पर आता हूं और मैं उत्तेजित नहीं होता, मैं सिर्फ अपनी राय लिखता हूं। दुर्भाग्य से, कभी-कभी यह कीमत पर भी ऐसा होता है कि मुझे लगता है कि मैंने अपनी राय समझदारी से लिखी है, लेकिन लोग नहीं जानते कि मेरा क्या मतलब है :(
मैं पहले मानसिकता की सादृश्यता को समझता था, लेकिन मुझे लगता है कि यह नई सादृश्यता (बॉक्स के बारे में, लेकिन 4x अनुप्रयोगों के बारे में नहीं) अधिक सटीक है।
नौकरियाँ जोड़ें: मुझे लगता है कि Apple वर्तमान में तलाश कर रहा है। हालाँकि उनके पास एस.जॉब्स जैसा कोई नेता नहीं है, लेकिन वे उतने बुरे भी नहीं हैं। उनके पास बहुत सारे अनुभवी और बुद्धिमान लोग हैं जो दिलचस्प चीजें पेश करने में सक्षम होंगे, लेकिन इसमें समय लगता है। व्यक्तिगत रूप से, मुझे लगता है कि उनके जाने के 10 साल बाद तक आज Apple और S.Jobs के साथ Apple की तुलना करना संभव होगा, तब तक यह सिर्फ चीख-पुकार है, लेकिन यह सिर्फ मेरी राय है...
पूर्णतया सहमत ;)
उनके पास पहले सुरक्षा खामियां थीं और इससे कहीं अधिक महत्वपूर्ण थीं... उदाहरण के लिए, उन्होंने OSX 10.5 में ASLR परत जोड़ी, लेकिन यह केवल 10.7 में पूरी तरह कार्यात्मक थी (यदि मैं वर्जनिंग में गलत नहीं हूं), तो इसका कथन ढूंढें सुरक्षा विशेषज्ञ डिनो दाई ज़ोवी। जहां तक हालिया बग का सवाल है, हार्टब्लीड, शेल शॉक पर जानकारी पाएं...
सुरक्षा बग थे, हैं और रहेंगे, इससे कोई फर्क नहीं पड़ता कि आप लिनक्स, विंडोज, ओएसएक्स, क्रोम का उपयोग करते हैं... यह केवल कुछ समय की बात है जब ओएसएक्स या लिनक्स अधिक व्यापक हो जाएगा और ये सिस्टम मैलवेयर निर्माताओं के लिए अधिक आकर्षक हो जाएंगे, आप बस इसे टाला नहीं जा सकता और यदि आप कहते हैं कि कोई सिस्टम "त्रुटियों के बिना" है (जैसा कि मैंने एक बार लिनक्स के बारे में कहा था), तो आप बस अपनी जेब से झूठ बोल रहे हैं...
वैसे, यदि आप डरना चाहते हैं, तो इस वर्ष के ब्लैक हैट सुरक्षा सम्मेलन के बारे में जानकारी प्राप्त करें और यूएसबी फर्मवेयर कमजोरियों पर व्याख्यान देखें, यह भी एक बम वाली बात है :)
अनाम: यह फिर से बकवास है, यह मुझे सोबोटका की याद दिलाता है। मैं एस.जॉब्स के चले जाने पर दूसरे प्लेटफॉर्म पर स्विच करने और आईओएस और मैक ओएस से छुटकारा पाने की सलाह देता हूं। तभी आप संतुष्ट होंगे.
और सबसे जेलब्रेक डिवाइस पर, क्या वे ऐपस्टोर के अलावा कहीं और से एप्लिकेशन इंस्टॉल करते हैं?
मुझे भी उसमें दिलचस्पी होगी. क्योंकि मैंने अपने iOS में AppStore के अलावा किसी अन्य एप्लिकेशन को इंस्टॉल करने की संभावना कभी नहीं देखी है। जब उस वीडियो में "इंस्टॉल" पॉप अप हुआ, तो मैंने उसे कभी नहीं देखा।
हां, आपको बस एप्लिकेशन पर एंटरप्राइज सर्टिफिकेट के साथ हस्ताक्षर करना होगा, फिर इसे इस तरह से इंस्टॉल किया जा सकता है।
यह जेलब्रेक के बिना काम नहीं करता. या लिंक भेजें और मैं इस तरह से बिना जेलब्रेक के अपने iPhone पर एप्लिकेशन इंस्टॉल करने का प्रयास करूंगा।
लुकास पाल्दा सही है. यह संभव है, लेकिन कुछ तकनीकी अनुप्रयोग हैं या वे इतने अरुचिकर हैं कि आप उनके बारे में नहीं जानते, लेकिन यह संभव है :)
तो बस स्टोरू डाउनलोड करें और समस्या खत्म हो गई
सभी को नमस्कार... मेरे और लेख के अनुसार, बुनियादी नियमों का पालन करना पर्याप्त है, जैसे कि नेट से जुड़े अन्य उपकरणों का उपयोग करते समय (चाहे वह iOS, Android, WIN, आदि हो) = पर क्लिक न करें अज्ञात प्रेषकों से अनुलग्नक, चालाकी न करें और एक अनुभवी "हैकर" की भूमिका न निभाएं, संदिग्ध फ़ाइलें डाउनलोड न करें... मैंने "गॉसिप" novinky.cz पर एक समान लेख पढ़ा है और यदि कोई किसी कंपनी को नुकसान पहुंचाना चाहता है, तो वे ऐसा करेंगे एक रास्ता खोजा...
उन लोगों के लिए जो सोचते हैं कि जेलब्रेक न करना और विशेष रूप से ऐपस्टोर से इंस्टॉल करना ही पर्याप्त है:
http://www.fireeye.com/blog/technical/cyber-exploits/2014/11/masque-attack-all-your-ios-apps-belong-to-us.html
पैराग्राफ से: "आईओएस उपयोगकर्ता तीन चरणों का पालन करके खुद को मास्क हमलों से बचा सकते हैं: ..."।
सारांश: ई-मेल या एसएमएस में किसी लिंक पर क्लिक करने के बाद, "इंस्टॉल करें" (या ट्रस्ट डेवलपर) विकल्प वाला एक डायलॉग बॉक्स भी आपके सामने आ सकता है। वास्तव में यही इस समस्या का सार है।
आप सोच सकते हैं कि आप लिंक पर क्लिक नहीं कर रहे हैं, लेकिन आपके मित्र, परिवार आदि कर रहे हैं। उन्हें आपकी तरह आईटी ज्ञान होना जरूरी नहीं है, और इसलिए उन्हें सलाह दी जाती है कि वे "इंस्टॉल करें" इत्यादि पर क्लिक न करें।
___
मैंने Root.cz से कार्यभार संभाला