ඔන්ඩ්රෙජ් හොල්ස්මන් නොසැලකිලිමත් සහ නොසැලකිලිමත් iOS භාවිතා කරන්නන් අමතර අන්තරායන්ට මුහුණ දෙයි. සොයා ගැනීමෙන් සතියකට පසුව පමණි WireLurker අනිෂ්ට මෘදුකාංග ආරක්ෂක සමාගමක් වන FireEye නිවේදනය කර ඇත්තේ iPhone සහ iPad වල "Masque Attack" නම් තාක්ෂණික ක්රමවේදයක් භාවිතා කරමින් ප්රහාර එල්ල කළ හැකි තවත් ආරක්ෂක සිදුරක් සොයාගෙන ඇති බවයි. එයට ව්යාජ තෙවන පාර්ශවීය යෙදුම් හරහා පවතින යෙදුම් අනුකරණය කිරීමට හෝ ප්රතිස්ථාපනය කිරීමට සහ පසුව පරිශීලක දත්ත ලබා ගැනීමට හැකිය.
යෙදුම් වෙළඳසැල හරහා iOS උපාංග වෙත පමණක් යෙදුම් බාගත කරන අය Masque ප්රහාරයට බිය නොවිය යුතුය, මන්ද නව අනිෂ්ට මෘදුකාංගය ක්රියා කරන්නේ පරිශීලකයා නිල මෘදුකාංග ගබඩාවෙන් පිටත යෙදුමක් බාගත කරන ආකාරයට ය, එය වංචනික විද්යුත් තැපෑලක් හෝ පණිවිඩයක් ය. (උදාහරණයක් ලෙස, ජනප්රිය Flappy Bird ක්රීඩාවේ නව අනුවාදය බාගත කිරීමේ සබැඳියක් අඩංගු වේ, පහත වීඩියෝව බලන්න).
පරිශීලකයා වංචනික සබැඳිය ක්ලික් කළ පසු, ඔවුන් Flappy Bird ලෙස පෙනෙන යෙදුමක් බාගත කරන ලෙස ඉල්ලා සිටින වෙබ් පිටුවකට ගෙන යනු ඇත, නමුත් ඇත්ත වශයෙන්ම එය App Store වෙතින් නීත්යානුකූලව බාගත කළ මුල් යෙදුම නැවත ස්ථාපනය කරන Gmail හි ව්යාජ අනුවාදයකි. යෙදුම දිගටම ඒ ආකාරයෙන්ම ක්රියා කරයි, එය ට්රෝජන් අශ්වයෙකු තමා තුළට උඩුගත කරයි, එය එයින් සියලුම පුද්ගලික දත්ත ලබා ගනී. ප්රහාරය ජීමේල් පමණක් නොව, උදාහරණයක් ලෙස බැංකු යෙදුම් ගැනද සැලකිලිමත් විය හැකිය. මීට අමතරව, මෙම අනිෂ්ට මෘදුකාංගයට දැනටමත් මකා දමා ඇති යෙදුම්වල මුල් දේශීය දත්ත වෙත ප්රවේශ විය හැකි අතර, උදාහරණයක් ලෙස, අවම වශයෙන් සුරකින ලද පිවිසුම් අක්තපත්ර ලබා ගත හැක.
[youtube id=”76ogdpbBlsU” width=”620″ height=”360″]
ව්යාජ අනුවාද වලට මුල් යෙදුම ප්රතිස්ථාපනය කළ හැක්කේ ඇපල් විසින් යෙදුම් සඳහා ලබා දෙන අනන්ය හඳුනාගැනීමේ අංකයම ඇති නිසා සහ පරිශීලකයින්ට එකක් අනෙකින් වෙන්කර හඳුනා ගැනීම ඉතා අපහසු බැවිනි. සැඟවුණු ව්යාජ අනුවාදය පසුව විද්යුත් තැපැල් පණිවිඩ, කෙටි පණිවුඩ, දුරකථන ඇමතුම් සහ වෙනත් දත්ත වාර්තා කරයි, මන්ද iOS අනන්ය හඳුනාගැනීමේ දත්ත සහිත යෙදුම් වලට එරෙහිව මැදිහත් නොවන බැවිනි.
Masque Attack හට Safari හෝ Mail වැනි පෙරනිමි iOS යෙදුම් ප්රතිස්ථාපනය කළ නොහැක, නමුත් එය App Store වෙතින් බාගත කළ බොහෝ යෙදුම් වලට පහසුවෙන් පහර දිය හැකි අතර එය පසුගිය සතියේ සොයා ගත් WireLurker ට වඩා විශාල තර්ජනයක් විය හැකිය. Apple WireLurker වෙත ඉක්මනින් ප්රතිචාර දැක්වූ අතර යෙදුම් ස්ථාපනය කර ඇති සමාගම් සහතික අවහිර කළේය, නමුත් Masque Attack දැනට පවතින යෙදුම්වලට රිංගා ගැනීම සඳහා අනන්ය හඳුනාගැනීමේ අංක භාවිතා කරයි.
ආරක්ෂක සමාගමක් වන FireEye විසින් මාස්ක් ප්රහාරය iOS 7.1.1, 7.1.2, 8.0, 8.1 සහ 8.1.1 බීටා මත ක්රියා කරන බව සොයා ගත් අතර, Apple විසින් මෙම වසරේ ජූලි මස අගදී මෙම ගැටලුව වාර්තා කළ බව පැවසේ. කෙසේ වෙතත්, පරිශීලකයින්ට විභව අන්තරායෙන් ඉතා පහසුවෙන් ආරක්ෂා විය හැකිය - යෙදුම් වෙළඳසැලෙන් පිටත කිසිදු යෙදුමක් ස්ථාපනය නොකරන්න සහ විද්යුත් තැපෑල සහ කෙටි පණිවිඩවල කිසිදු සැක සහිත සබැඳියක් විවෘත නොකරන්න. Apple සමාගම තවමත් ආරක්ෂක දෝෂය පිළිබඳව අදහස් දක්වා නොමැත.
ඇපල් නරක වසරක් ගත කරයි. නම්යශීලී දුරකථන, දුරකථනයෙන් ඇමතීමට නොහැකි වීම, ඌරෙක් වැනි ආරක්ෂක සිදුරු, Yosemite හි අර්ධ ක්රියාකාරී wifi (එය සෑම ගොඩනැගීමකම වර්ණයකි). ඇපල් හරි දේ කරපු දවස් කොහෙද? මම දන්නවා එස් ජොබ්ස් මැරෙන්න කලින්...
කෙසේ වෙතත්, පරිශීලකයින්ට විභව අන්තරායෙන් ඉතා පහසුවෙන් ආරක්ෂා විය හැකිය - යෙදුම් වෙළඳසැලෙන් පිටත කිසිදු යෙදුමක් ස්ථාපනය නොකරන්න සහ විද්යුත් තැපෑල සහ කෙටි පණිවිඩවල කිසිදු සැක සහිත සබැඳියක් විවෘත නොකරන්න.
නමුත් මෙය තවමත් ක්රියා කළේ නැත, මන්ද එය ක්රියාත්මක වූයේ නම්, අනිෂ්ට මෘදුකාංග සහ වෛරස් අද පවතින්නේ නැත :)
චෙක් ජනරජය පිරී ඇති "අකීකරු පුද්ගලයින්" සඳහා එය ක්රියා නොකළ අතර, නීති සහ විශේෂයෙන් මාර්ග නීති ඔවුන්ට විහිළුවක් වන්නේ එබැවිනි, නිල නොවන මෘදුකාංග පිළිබඳ මෙම නිර්දේශයට සවන් නොදීම ද මාර්ගයකි. විනාශය. ඉතින් දූෂිත මානසිකත්වය නැත්නම් වැඩේ හරි ;)
මම මාර්ග නීති වලට සම්බන්ධ නොවෙමි, අවාසනාවකට ඒවා ලියා ඇත්තේ අපගේ මාර්ග ආරක්ෂිත කිරීමට නොවේ, නමුත් නාගරික පොලිසියට සහය වීමට සහ නාගරික භාණ්ඩාගාරයට ගියහොත් ආදායමට සහාය වීමට :(((
නමුත් මෙහි සාකච්ඡාව එය නොවේ :)
විශේෂයෙන්ම චෙක් ජනරජයේ මිනිසුන්ගේ මානසිකත්වය ගැන මම වඩාත් උනන්දු වෙමි. සිගරට් පැකට් 1ක් වෙනුවට ඇප්ස් 90ක් ශත 4ට අරන් නිල නොලත් මූලාශ්රවලින් ඩවුන්ලෝඩ් නොකර අයිෆෝන් ජෙල්බ්රේක් නොකළා නම් මිල අධික උපාංග නැතිවී ගියා යැයි අඬන්නට අවශ්ය නැත :)
ඇත්ත වශයෙන්ම, මෙම සම්පූර්ණ ත්රෙඩ් එක නිර්මාණය කර ඇත්තේ විකාර අනාවැකියට ප්රතිචාරයක් වශයෙනි: "රැකියා මරණයෙන් පසු, සියල්ල හොඳින් සිදුවෙමින් පවතී, සහ මේ වසරේ විශේෂයෙන්"
මම සංසන්දනය කිරීමට කැමති වූයේ නැත. පසුගිය වසර 2 තුළ, මගේ මිතුරන්ට ස්තූතිවන්ත වන්නට, මම මෙම මාතෘකාවට පැටලී සිටි අතර එහි සිදුවන දේට මම අකමැති වූ අතර සමහර විට එය ඇත්තෙන්ම පිළිකුල් සහගතය :(
සංසදයේ පළ කර ඇති මගේ ප්රතිචාරය කෝපයට පත් විය හැකි බව මම පිළිගනිමි, නමුත් ඒ මමය, මම කිසිදු කලබලයකින් තොරව කෙලින්ම කාරණයට යමි, මම කලබල වීමට නැඹුරු නොවෙමි, මම මගේ අදහස ලියන්නෙමි. අවාසනාවට, සමහර විට එය මිලෙන් පවා මම මගේ අදහස තේරුම් ගත හැකි ලෙස ලිව්වා යැයි සිතමි, නමුත් මිනිසුන් මා අදහස් කරන්නේ කුමක්දැයි නොදනී :(
මම කලින් මානසිකත්වයට සාදෘශ්ය තේරුම් ගත්තෙමි, නමුත් මෙම නව ප්රතිසමය (කොටුව ගැන, නමුත් 4x යෙදුම් ගැන නොවේ) වඩා නිවැරදි යැයි මම සිතමි.
රැකියා එකතු කරන්න: මම හිතන්නේ Apple දැනට බලනවා. S.Jobs වගේ නායකයෙක් නැති උනාට උන් එච්චර නරක නෑ. ඔවුන්ට රසවත් දේවල් ඉදිරිපත් කිරීමට හැකි වන පළපුරුදු සහ බුද්ධිමත් පුද්ගලයින් රාශියක් ඇත, නමුත් ඒ සඳහා කාලය ගතවේ. පුද්ගලිකව මම හිතන්නේ අද Apple සහ Apple S.Jobs සමඟ සංසන්දනය කිරීමට ඔහු නික්ම ගොස් වසර 10 කට පසුව, එතෙක් කෑගැසීම් පමණි, නමුත් එය මගේ මතය පමණි ...
සම්පුර්ණයෙන්ම එකඟයි ;)
ඔවුන්ට මීට පෙර ආරක්ෂක සිදුරු තිබූ අතර මීට වඩා බෙහෙවින් වැදගත් ය... උදාහරණයක් ලෙස, ඔවුන් OSX 10.5 හි ASLR ස්තරය එක් කර ඇත, නමුත් එය සම්පුර්ණයෙන්ම ක්රියාත්මක වූයේ 10.7 හි පමණි (මා අනුවාද කිරීමේදී වරදවා වටහාගෙන නොමැති නම්), ප්රකාශය සොයා ගන්න. ආරක්ෂක විශේෂඥ Dino Dai Zovi. මෑත කාලීන දෝෂ සඳහා, Heartbleed, Shell Shock පිළිබඳ තොරතුරු සොයා ගන්න...
ඔබ ලිනක්ස්, වින්ඩෝස්, ඕඑස්එක්ස්, ක්රෝම් භාවිතා කළත් කමක් නැත, ආරක්ෂක දෝෂ, පැවතියද, පවතිනු ඇත. එය මග හැරිය නොහැකි අතර පද්ධතියක් "දෝෂ රහිත" (මම වරක් ලිනක්ස් ගැන කීවාක් මෙන්) යැයි ඔබ පවසන්නේ නම්, ඔබ ඔබේ සාක්කුවට බොරුවක් ...
මාර්ගය වන විට, ඔබට බිය වීමට අවශ්ය නම්, මෙම වසරේ Black Hat ආරක්ෂක සමුළුව පිළිබඳ තොරතුරු සොයාගෙන USB ස්ථිරාංග දුර්වලතා පිළිබඳ දේශන නරඹන්න, එයද බෝම්බයකි :)
නිර්නාමික : ඒක ආයෙත් විකාරයක්, ඒක මට සොබොට්කාව මතක් කරනවා. S.Jobs නැති වූ විට වෙනත් වේදිකාවකට මාරු වී iOS සහ Mac OS ඉවත් කිරීමට මම නිර්දේශ කරමි. එවිට ඔබ සෑහීමකට පත් වනු ඇත.
සහ වඩාත්ම Jailbreak කර ඇති උපාංගය මත, ඔවුන් AppStore හැර වෙනත් තැනක සිට යෙදුම් ස්ථාපනය කරන්නේද?
මමත් ඒ ගැන උනන්දු වෙනවා. AppStore හරහා හැර වෙනත් යෙදුමක් ස්ථාපනය කිරීමේ හැකියාව මම මගේ iOS තුළ දැක නැති නිසා. එම වීඩියෝවේ "ස්ථාපනය" උත්පතන වූ විට, මම එය කිසි දිනක දැක නැත.
ඔව්, ඔබට අවශ්ය වන්නේ ව්යවසාය සහතිකයක් සමඟ යෙදුම අත්සන් කර තිබීමයි, එවිට එය මේ ආකාරයෙන් ස්ථාපනය කළ හැක.
Jailbreak නැතුව වැඩ කරන්නේ නැහැ. නැත්නම් ලින්ක් එක එවන්න මම මේ විදියට Jailbreak නොකර මගේ iPhone එකට Application එක Install කරලා බලන්නම්.
Lukas Palda හරි. එය හැකි ය, නමුත් තාක්ෂණික යෙදුම් කිහිපයක් තිබේ, නැතහොත් ඒවා එතරම් උනන්දුවක් නොදක්වන බැවින් ඔබ ඒවා ගැන නොදන්නා නමුත් එය කළ හැකිය :)
ඉතින් Storu බාගන්න එතකොට ප්රශ්නේ ඉවරයි
ආයුබෝවන් හැමෝටම... මට සහ ලිපියට අනුව, ජාලයට සම්බන්ධ වෙනත් උපාංග භාවිතා කරන විට (එය iOS, Android, WIN, ආදිය කුමක් වුවත්) = මත ක්ලික් නොකරන්න, මූලික නීති අනුගමනය කිරීම ප්රමාණවත්ය. නාඳුනන යවන්නන්ගෙන් ඇමුණුම්, උපක්රම ක්රීඩා නොකරන්න සහ පළපුරුදු "හැකර්" වාදනය නොකරන්න, සැක සහිත ලිපිගොනු බාගත නොකරන්න ... මම "gossip" novinky.cz හි එවැනිම ලිපියක් කියවා යමෙකුට ඕනෑම සමාගමකට හානි කිරීමට අවශ්ය නම්, ඔවුන් කරනු ඇත මගක් හොයාගන්න...
Jailbreak එකක් නොතිබීම සහ AppStore වෙතින් පමණක් ස්ථාපනය කිරීම ප්රමාණවත් යැයි සිතන අය සඳහා:
http://www.fireeye.com/blog/technical/cyber-exploits/2014/11/masque-attack-all-your-ios-apps-belong-to-us.html
ඡේදයෙන්: "iOS පරිශීලකයින්ට පියවර තුනක් අනුගමනය කිරීමෙන් මාස්ක් ප්රහාර වලින් ආරක්ෂා විය හැක: ...".
සාරාංශය: විද්යුත් තැපෑලක හෝ කෙටි පණිවුඩයක ඇති සබැඳියක් ක්ලික් කිරීමෙන් පසු, "ස්ථාපනය කරන්න" (හෝ විශ්වාස සංවර්ධක) විකල්පය සහිත සංවාද කොටුවක් ද ඔබට දිස් විය හැක. ඇත්ත වශයෙන්ම මෙම ගැටලුවේ හරය එයයි.
ඔබ සබැඳි මත ක්ලික් නොකරන බව ඔබ සිතනු ඇත, නමුත් ඔබේ මිතුරන්, පවුලේ අය, ආදිය. ඔවුන්ට ඔබ වැනි තොරතුරු තාක්ෂණ දැනුමක් තිබිය යුතු නැත, එබැවින් "ස්ථාපනය කරන්න" යනාදිය මත ක්ලික් නොකිරීමට උපදෙස් දීම සුදුසුය.
___
මම root.cz එකෙන් බාර ගත්තා