ஆண்ட்ரேஜ் ஹோல்ஸ்மேன் கவனக்குறைவான மற்றும் கவனக்குறைவான iOS பயனர்கள் கூடுதல் ஆபத்துக்களை எதிர்கொள்கின்றனர். கண்டுபிடிக்கப்பட்ட ஒரு வாரத்திற்குப் பிறகு WireLurker தீம்பொருள் பாதுகாப்பு நிறுவனமான FireEye ஐபோன்கள் மற்றும் ஐபேட்களில் "மாஸ்க் அட்டாக்" என்ற நுட்பத்தைப் பயன்படுத்தி தாக்கக்கூடிய மற்றொரு பாதுகாப்பு துளையை கண்டுபிடித்துள்ளதாக அறிவித்துள்ளது. இது போலி மூன்றாம் தரப்பு பயன்பாடுகள் மூலம் ஏற்கனவே உள்ள பயன்பாடுகளைப் பின்பற்றலாம் அல்லது மாற்றலாம் மற்றும் பின்னர் பயனர் தரவைப் பெறலாம்.
ஆப் ஸ்டோர் மூலம் பிரத்தியேகமாக iOS சாதனங்களுக்கு அப்ளிகேஷன்களை டவுன்லோட் செய்பவர்கள் மாஸ்க் தாக்குதலுக்கு பயப்பட வேண்டாம், ஏனெனில் புதிய மால்வேர் பயனர் அதிகாரப்பூர்வ மென்பொருள் கடைக்கு வெளியே ஒரு செயலியை பதிவிறக்கம் செய்யும் வகையில் செயல்படுகிறது, அதற்கு மோசடி மின்னஞ்சல் அல்லது செய்தி ( எடுத்துக்காட்டாக, பிரபலமான கேம் Flappy Bird இன் புதிய பதிப்பின் பதிவிறக்க இணைப்பு உள்ளது, கீழே உள்ள வீடியோவைப் பார்க்கவும்).
மோசடியான இணைப்பைப் பயனர் கிளிக் செய்தவுடன், Flappy Bird போன்று தோற்றமளிக்கும் ஒரு செயலியைப் பதிவிறக்கச் சொல்லும் இணையப் பக்கத்திற்கு அழைத்துச் செல்லப்படுவார்கள், ஆனால் இது உண்மையில் ஆப் ஸ்டோரிலிருந்து சட்டப்பூர்வமாகப் பதிவிறக்கம் செய்யப்பட்ட அசல் பயன்பாட்டை மீண்டும் நிறுவும் Gmail இன் போலிப் பதிப்பாகும். . பயன்பாடு அதே வழியில் தொடர்ந்து செயல்படுகிறது, அது ஒரு ட்ரோஜன் ஹார்ஸை தனக்குள் பதிவேற்றுகிறது, இது அதிலிருந்து எல்லா தனிப்பட்ட தரவையும் பெறுகிறது. இந்த தாக்குதல் ஜிமெயில் மட்டுமல்ல, எடுத்துக்காட்டாக, வங்கி பயன்பாடுகளையும் பாதிக்கலாம். கூடுதலாக, இந்த மால்வேர் ஏற்கனவே நீக்கப்பட்டிருக்கும் பயன்பாடுகளின் அசல் உள்ளூர் தரவையும் அணுகலாம், எடுத்துக்காட்டாக, குறைந்தபட்சம் சேமிக்கப்பட்ட உள்நுழைவு சான்றுகளையாவது பெறலாம்.
[youtube id=”76ogdpbBlsU” அகலம்=”620″ உயரம்=”360″]
அப்ளிகேஷன்களுக்கு ஆப்பிள் வழங்கும் அதே தனித்துவமான அடையாள எண் இருப்பதால், அசல் பயன்பாட்டை போலி பதிப்புகள் மாற்றலாம், மேலும் பயனர்கள் ஒன்றை மற்றொன்றிலிருந்து வேறுபடுத்துவது மிகவும் கடினம். மறைக்கப்பட்ட போலி பதிப்பு மின்னஞ்சல் செய்திகள், எஸ்எம்எஸ், தொலைபேசி அழைப்புகள் மற்றும் பிற தரவைப் பதிவுசெய்கிறது, ஏனெனில் ஒரே மாதிரியான அடையாளத் தரவைக் கொண்ட பயன்பாடுகளுக்கு எதிராக iOS தலையிடாது.
சஃபாரி அல்லது மெயில் போன்ற இயல்புநிலை iOS பயன்பாடுகளை மாஸ்க் அட்டாக் மாற்ற முடியாது, ஆனால் இது ஆப் ஸ்டோரிலிருந்து பதிவிறக்கம் செய்யப்பட்ட பெரும்பாலான பயன்பாடுகளை எளிதில் தாக்கும் மற்றும் கடந்த வாரம் கண்டுபிடிக்கப்பட்ட WireLurker ஐ விட பெரிய அச்சுறுத்தலாக இருக்கலாம். ஆப்பிள் WireLurker க்கு விரைவாக பதிலளித்தது மற்றும் பயன்பாடுகள் நிறுவப்பட்ட நிறுவனத்தின் சான்றிதழ்களைத் தடுத்தது, ஆனால் Masque Attack ஏற்கனவே உள்ள பயன்பாடுகளில் ஊடுருவ தனிப்பட்ட அடையாள எண்களைப் பயன்படுத்துகிறது.
பாதுகாப்பு நிறுவனமான FireEye, மாஸ்க் அட்டாக் iOS 7.1.1, 7.1.2, 8.0, 8.1 மற்றும் 8.1.1 பீட்டாவில் வேலை செய்வதைக் கண்டறிந்தது, மேலும் ஆப்பிள் இந்த ஆண்டு ஜூலை மாத இறுதியில் சிக்கலைப் புகாரளித்ததாகக் கூறப்படுகிறது. இருப்பினும், பயனர்கள் தாங்களாகவே சாத்தியமான ஆபத்திலிருந்து தங்களைத் தாங்களே பாதுகாத்துக் கொள்ளலாம் - ஆப் ஸ்டோருக்கு வெளியே எந்த பயன்பாடுகளையும் நிறுவ வேண்டாம் மற்றும் மின்னஞ்சல்கள் மற்றும் குறுஞ்செய்திகளில் சந்தேகத்திற்குரிய இணைப்புகளைத் திறக்க வேண்டாம். பாதுகாப்பு குறைபாடு குறித்து ஆப்பிள் இதுவரை கருத்து தெரிவிக்கவில்லை.
ஆப்பிள் ஒரு மோசமான ஆண்டு. நெகிழ்வான ஃபோன்கள், ஃபோனில் இருந்து அழைப்பது சாத்தியமற்றது, பன்றி போன்ற பாதுகாப்பு துளைகள், யோசெமிட்டியில் அரை-செயல்பாட்டு வைஃபை (அதுவே ஒவ்வொரு கட்டமைப்பின் நிறமும்). ஆப்பிள் சரியாகச் செய்த நாட்கள் எங்கே? எனக்கு தெரியும், அது எஸ். ஜாப்ஸ் இறப்பதற்கு முன்...
இருப்பினும், பயனர்கள் தாங்களாகவே சாத்தியமான ஆபத்திலிருந்து தங்களைக் காப்பாற்றிக் கொள்ள முடியும் - ஆப் ஸ்டோருக்கு வெளியே எந்த பயன்பாடுகளையும் நிறுவ வேண்டாம் மற்றும் மின்னஞ்சல்கள் மற்றும் குறுஞ்செய்திகளில் சந்தேகத்திற்குரிய இணைப்புகளைத் திறக்க வேண்டாம்.
ஆனால் இது இன்னும் வேலை செய்யவில்லை, ஏனென்றால் இது வேலை செய்தால், தீம்பொருள் மற்றும் வைரஸ்கள் இன்று இல்லை :)
செக் குடியரசில் நிரம்பியிருக்கும் " கீழ்ப்படியாத மக்களுக்கு" இது வேலை செய்யவில்லை, அதனால்தான் சட்டங்களும் குறிப்பாக சாலைச் சட்டங்களும் அவர்களுக்கு ஒரு நகைச்சுவையாக இருக்கின்றன, மேலும் அதிகாரப்பூர்வமற்ற மென்பொருள் பற்றிய இந்த பரிந்துரையைக் கேட்காமல் இருப்பதும் ஒரு பாதையாகும். அழிவு. ஊழல் மனப்பான்மை இல்லாவிட்டால் அது வேலை செய்யும் ;)
நான் சாலைச் சட்டங்களில் ஈடுபடமாட்டேன், துரதிர்ஷ்டவசமாக அவை நமது சாலைகளைப் பாதுகாப்பானதாக்க எழுதப்படவில்லை, ஆனால் மாநகர காவல்துறைக்கு ஆதரவளிக்கவும், அது நகராட்சிப் பொக்கிஷங்களுக்குச் சென்றால் வருமானத்தை ஆதரிக்கவும் :((((
ஆனால் இங்கே விவாதம் அதுவல்ல :)
குறிப்பாக செக் குடியரசில் இருந்து வரும் மக்களின் மனநிலையில் எனக்கு அதிக ஆர்வம் உண்டு. 1 பேக் சிகரெட்டுக்குப் பதிலாக, தலா 90 காசுகளுக்கு 4 ஆப்ஸ்களை வாங்கி, அதிகாரப்பூர்வமற்ற ஆதாரங்களில் இருந்து பதிவிறக்கம் செய்யாமல், தங்கள் ஐபோன்களை ஜெயில்பிரேக் செய்யாமல் இருந்தால், அவர்கள் தங்கள் விலையுயர்ந்த சாதனங்களை இழந்து அழ வேண்டியதில்லை :)
நிச்சயமாக, இந்த முழு நூலும் முட்டாள்தனமான தீர்க்கதரிசனத்திற்கு பதிலளிக்கும் வகையில் உருவாக்கப்பட்டது: "வேலைகளின் மரணத்திலிருந்து, எல்லாம் நன்றாக நடக்கிறது, குறிப்பாக இந்த ஆண்டு"
ஒப்பீடு எனக்குப் பிடிக்கவில்லை. கடந்த 2 ஆண்டுகளில், எனது நண்பர்களுக்கு நன்றி, நான் இந்த தலைப்பில் சிக்கிக்கொண்டேன், அங்கு என்ன நடக்கிறது என்பது எனக்குப் பிடிக்கவில்லை, சில நேரங்களில் அது மிகவும் அருவருப்பானது :(
மன்றத்தில் பதிவிடப்பட்ட எனது பதில் கோபமாக வந்திருக்கலாம் என்பதை ஒப்புக்கொள்கிறேன், ஆனால் அது நான்தான், நான் எந்தவிதமான சலசலப்பும் இல்லாமல் நேரடியாக விஷயத்திற்கு வருகிறேன், நான் உற்சாகமடையவில்லை, நான் என் கருத்தை எழுதுகிறேன். துரதிர்ஷ்டவசமாக, சில சமயங்களில் விலையில் கூட நான் என் கருத்தை புரிந்துகொண்டு எழுதினேன் என்று நினைக்கிறேன், ஆனால் நான் என்ன சொல்கிறேன் என்று மக்களுக்குத் தெரியாது :(
மனப்பான்மைக்கான ஒப்புமையை நான் முன்பே புரிந்துகொண்டேன், ஆனால் இந்த புதிய ஒப்புமை (பெட்டியைப் பற்றியது, ஆனால் 4x பயன்பாடுகள் அல்ல) மிகவும் துல்லியமானது என்று நினைக்கிறேன்.
வேலைகளைச் சேர்: ஆப்பிள் தற்போது தேடுகிறது என்று நினைக்கிறேன். எஸ்.ஜோப்ஸ் போன்ற தலைவர் இல்லை என்றாலும், அவர்கள் அவ்வளவு மோசமானவர்கள் அல்ல. அவர்களிடம் நிறைய அனுபவம் வாய்ந்த மற்றும் அறிவார்ந்த நபர்கள் உள்ளனர், அவர்கள் சுவாரஸ்யமான விஷயங்களைக் கொண்டு வர முடியும், ஆனால் அதற்கு நேரம் எடுக்கும். தனிப்பட்ட முறையில் இன்று ஆப்பிளையும் S.Jobs உடன் அவர் வெளியேறி 10 வருடங்கள் வரை ஒப்பிட்டுப் பார்க்க முடியும் என்று நினைக்கிறேன், அதுவரை அது வெறும் அலறல்கள் தான், ஆனால் அது எனது கருத்து...
முற்றிலும் உடன்படுகிறேன் ;)
அவர்கள் முன்னரே பாதுகாப்பு ஓட்டைகளைக் கொண்டிருந்தனர் மற்றும் இதை விட மிகவும் குறிப்பிடத்தக்கவை... எடுத்துக்காட்டாக, அவர்கள் OSX 10.5 இல் ASLR லேயரைச் சேர்த்துள்ளனர், ஆனால் அது 10.7 இல் மட்டுமே முழுமையாகச் செயல்பட்டது (பதிப்பில் நான் தவறாகப் புரிந்து கொள்ளவில்லை என்றால்), அறிக்கையைக் கண்டறியவும். பாதுகாப்பு நிபுணர் டினோ டாய் ஜோவி. சமீபத்திய பிழைகளைப் பொறுத்தவரை, ஹார்ட்பிளீட், ஷெல் ஷாக் பற்றிய தகவல்களைக் கண்டறியவும்…
நீங்கள் Linux, Windows, OSX, Chrome ஐப் பயன்படுத்தினாலும், பாதுகாப்புப் பிழைகள், இருந்தன, இருக்கும் மற்றும் இருக்கும். அதைத் தவிர்க்க முடியாது மற்றும் ஒரு கணினி "பிழைகள் இல்லாமல்" (லினக்ஸ் பற்றி நான் ஒருமுறை கூறியது போல்) என்று நீங்கள் சொன்னால், நீங்கள் உங்கள் பாக்கெட்டில் பொய் சொல்கிறீர்கள்...
நீங்கள் பயப்பட விரும்பினால், இந்த ஆண்டு பிளாக் ஹாட் பாதுகாப்பு மாநாட்டைப் பற்றிய தகவலைக் கண்டுபிடித்து, USB ஃபார்ம்வேர் பாதிப்புகள் குறித்த விரிவுரைகளைப் பாருங்கள், அதுவும் ஒரு வெடிகுண்டு விஷயம்தான் :)
அநாமதேயர்: அது மீண்டும் முட்டாள்தனம், இது எனக்கு சோபோட்காவை நினைவூட்டுகிறது. S.Jobs போய்விட்டால், வேறொரு தளத்திற்கு மாறவும், iOS மற்றும் Mac OS இல் இருந்து விடுபடவும் பரிந்துரைக்கிறேன். அப்போது நீங்கள் திருப்தி அடைவீர்கள்.
மற்றும் மிகவும் ஜெயில்பிரோக் செய்யப்பட்ட சாதனத்தில், ஆப்ஸ்டோரைத் தவிர வேறு எங்காவது பயன்பாடுகளை நிறுவுகிறார்களா?
நானும் அதில் ஆர்வமாக இருப்பேன். ஏனெனில் AppStore மூலம் தவிர வேறு ஒரு பயன்பாட்டை நிறுவும் வாய்ப்பை எனது iOS இல் நான் பார்த்ததில்லை. அந்த வீடியோவில் "நிறுவு" பாப்-அப் செய்யப்பட்டபோது, நான் அதைப் பார்க்கவில்லை.
ஆம், நீங்கள் ஒரு நிறுவன சான்றிதழுடன் விண்ணப்பத்தில் கையொப்பமிட வேண்டும், பின்னர் அதை இந்த வழியில் நிறுவலாம்.
ஜெயில்பிரேக் இல்லாமல் இது இயங்காது. அல்லது இணைப்பை அனுப்பவும், இந்த வழியில் ஜெயில்பிரேக் இல்லாமல் எனது ஐபோனில் பயன்பாட்டை நிறுவ முயற்சிக்கிறேன்.
லூகாஸ் பால்டா சொல்வது சரிதான். இது சாத்தியம், ஆனால் சில தொழில்நுட்ப பயன்பாடுகள் உள்ளன அல்லது அவை ஆர்வமற்றவை, அவற்றைப் பற்றி உங்களுக்குத் தெரியாது, ஆனால் அது சாத்தியம் :)
எனவே ஸ்டோருவைப் பதிவிறக்குங்கள், சிக்கல் முடிந்தது
அனைவருக்கும் வணக்கம்... என் மற்றும் கட்டுரையின் படி, நெட்டில் இணைக்கப்பட்ட பிற சாதனங்களைப் பயன்படுத்தும் போது (iOS, Android, WIN போன்றவற்றைப் பொருட்படுத்தாமல்) = கிளிக் செய்ய வேண்டாம் என அடிப்படை விதிகளைப் பின்பற்றினால் போதும். தெரியாத அனுப்புநர்களிடமிருந்து இணைப்புகள், தந்திரங்களை விளையாட வேண்டாம் மற்றும் அனுபவம் வாய்ந்த "ஹேக்கரை" விளையாட வேண்டாம், சந்தேகத்திற்கிடமான கோப்புகளை பதிவிறக்க வேண்டாம் ... நான் "கிசுகிசு" novinky.cz இல் இதே போன்ற கட்டுரையைப் படித்தேன், யாராவது எந்த நிறுவனத்திற்கும் தீங்கு செய்ய விரும்பினால், அவர்கள் செய்வார்கள். ஒரு தீர்வுகண்டுபிடி...
Jailbreak இல்லையேல் போதும் என்று நினைப்பவர்கள் மற்றும் AppStore இல் இருந்து பிரத்தியேகமாக நிறுவவும்:
http://www.fireeye.com/blog/technical/cyber-exploits/2014/11/masque-attack-all-your-ios-apps-belong-to-us.html
பத்தியிலிருந்து: "iOS பயனர்கள் மூன்று படிகளைப் பின்பற்றுவதன் மூலம் முகமூடி தாக்குதல்களிலிருந்து தங்களைப் பாதுகாத்துக் கொள்ளலாம்: ...".
சுருக்கம்: மின்னஞ்சல் அல்லது எஸ்எம்எஸ்ஸில் உள்ள இணைப்பைக் கிளிக் செய்த பிறகு, "நிறுவு" (அல்லது டிரஸ்ட் டெவலப்பர்) விருப்பத்துடன் கூடிய உரையாடல் பெட்டியும் உங்களுக்குத் தோன்றலாம். அதுதான் உண்மையில் இந்தப் பிரச்சனையின் சாராம்சம்.
நீங்கள் இணைப்புகளைக் கிளிக் செய்யவில்லை என்று நீங்கள் நினைக்கலாம், ஆனால் உங்கள் நண்பர்கள், குடும்பத்தினர் போன்றவர்கள். அவர்கள் உங்களைப் போன்ற தகவல் தொழில்நுட்ப அறிவைப் பெற்றிருக்க வேண்டிய அவசியமில்லை, எனவே "நிறுவு" மற்றும் பலவற்றைக் கிளிக் செய்ய வேண்டாம் என்று அவர்களுக்கு அறிவுறுத்துவது நல்லது.
___
நான் root.cz இலிருந்து பொறுப்பேற்றேன்