ओंद्रेज होल्झमन निष्काळजी आणि निष्काळजी iOS वापरकर्त्यांना अतिरिक्त धोक्यांचा सामना करावा लागतो. शोध लागल्यानंतर फक्त एक आठवडा वायरलर्कर मालवेअर सुरक्षा कंपनी FireEye ने घोषणा केली आहे की त्यांनी iPhones आणि iPads मध्ये आणखी एक सुरक्षा छिद्र शोधून काढले आहे ज्यावर "मास्क अटॅक" नावाचे तंत्र वापरून हल्ला केला जाऊ शकतो. हे बनावट तृतीय-पक्ष अनुप्रयोगांद्वारे विद्यमान अनुप्रयोगांचे अनुकरण किंवा पुनर्स्थित करू शकते आणि त्यानंतर वापरकर्ता डेटा प्राप्त करू शकते.
जे लोक केवळ ॲप स्टोअरद्वारे iOS उपकरणांवर ऍप्लिकेशन्स डाउनलोड करतात त्यांनी मास्क अटॅकची भीती बाळगू नये, कारण नवीन मालवेअर अशा प्रकारे कार्य करते की वापरकर्ता अधिकृत सॉफ्टवेअर स्टोअरच्या बाहेर अनुप्रयोग डाउनलोड करतो, ज्यावर फसव्या ई-मेल किंवा संदेश (उदाहरणार्थ, लोकप्रिय गेम फ्लॅपी बर्डची डाउनलोड लिंक असलेली नवीन आवृत्ती, खालील व्हिडिओ पहा).
वापरकर्त्याने फसव्या लिंकवर क्लिक केल्यानंतर, त्यांना फ्लॅपी बर्डसारखे दिसणारे ॲप डाउनलोड करण्यास सांगून त्यांना वेब पृष्ठावर नेले जाईल, परंतु प्रत्यक्षात ते Gmail ची बनावट आवृत्ती आहे जी App Store वरून कायदेशीररित्या डाउनलोड केलेले मूळ ॲप पुन्हा स्थापित करते. अनुप्रयोग तशाच प्रकारे वागणे सुरू ठेवतो, तो फक्त स्वतःमध्ये एक ट्रोजन हॉर्स अपलोड करतो, जो त्यातून सर्व वैयक्तिक डेटा प्राप्त करतो. हा हल्ला केवळ जीमेलच नाही तर बँकिंग ऍप्लिकेशन्सवर देखील होऊ शकतो. याशिवाय, हा मालवेअर अगोदरच हटवलेल्या अनुप्रयोगांच्या मूळ स्थानिक डेटामध्ये देखील प्रवेश करू शकतो आणि उदाहरणार्थ, किमान जतन केलेली लॉगिन क्रेडेन्शियल मिळवू शकतो.
[youtube id=”76ogdpbBlsU” रुंदी=”620″ उंची=”360″]
बनावट आवृत्त्या मूळ ॲपची जागा घेऊ शकतात कारण त्यांच्याकडे ॲपलने दिलेला एकच विशिष्ट ओळख क्रमांक आहे आणि वापरकर्त्यांसाठी एक दुसऱ्यापासून वेगळे करणे खूप कठीण आहे. लपलेली बनावट आवृत्ती नंतर ई-मेल संदेश, एसएमएस, फोन कॉल आणि इतर डेटा रेकॉर्ड करते, कारण iOS समान ओळख डेटा असलेल्या अनुप्रयोगांमध्ये हस्तक्षेप करत नाही.
मास्क अटॅक सफारी किंवा मेल सारख्या डीफॉल्ट iOS ॲप्सची जागा घेऊ शकत नाही, परंतु ते ॲप स्टोअरवरून डाउनलोड केलेल्या बहुतेक ॲप्सवर सहजपणे हल्ला करू शकते आणि गेल्या आठवड्यात सापडलेल्या वायरलर्करपेक्षा संभाव्यतः मोठा धोका आहे. Apple ने वायरलर्करवर त्वरीत प्रतिक्रिया दिली आणि कंपनीचे प्रमाणपत्र अवरोधित केले ज्याद्वारे अनुप्रयोग स्थापित केले गेले होते, परंतु मास्क अटॅक विद्यमान अनुप्रयोगांमध्ये घुसखोरी करण्यासाठी अद्वितीय ओळख क्रमांक वापरते.
सुरक्षा फर्म FireEye ला आढळले की मास्क अटॅक iOS 7.1.1, 7.1.2, 8.0, 8.1 आणि 8.1.1 बीटा वर कार्य करते आणि Apple ने या वर्षाच्या जुलैच्या अखेरीस समस्या नोंदवल्याचे सांगितले जाते. तथापि, वापरकर्ते स्वतःच संभाव्य धोक्यापासून सहजतेने स्वतःचे संरक्षण करू शकतात - फक्त ॲप स्टोअरच्या बाहेर कोणतेही अनुप्रयोग स्थापित करू नका आणि ई-मेल आणि मजकूर संदेशांमध्ये कोणतीही संशयास्पद लिंक उघडू नका. ॲपलने सुरक्षेतील त्रुटींबाबत अद्याप कोणतीही प्रतिक्रिया दिलेली नाही.
ऍपल एक वाईट वर्ष जात आहे. लवचिक फोन, फोनवरून कॉल करण्याची अशक्यता, डुक्कर सारखी सुरक्षा छिद्रे, योसेमाइटमधील अर्ध-कार्यक्षम वायफाय (तो प्रत्येक बिल्डचा रंग आहे). Appleपलने गोष्टी बरोबर केल्या असे दिवस कुठे आहेत? मला माहीत आहे, ते एस. जॉब्सच्या मृत्यूपूर्वी होते...
तथापि, वापरकर्ते स्वतःच संभाव्य धोक्यापासून सहजतेने स्वतःचे संरक्षण करू शकतात - फक्त ॲप स्टोअरच्या बाहेर कोणतेही अनुप्रयोग स्थापित करू नका आणि ई-मेल आणि मजकूर संदेशांमध्ये कोणतीही संशयास्पद लिंक उघडू नका.
परंतु हे अद्याप कार्य करत नाही, कारण जर ते कार्य केले तर मालवेअर आणि व्हायरस आज अस्तित्वात नाहीत :)
हे "अज्ञात लोकांसाठी" काम करत नाही, जे झेक प्रजासत्ताक भरले आहे, आणि म्हणूनच कायदे आणि विशेषत: रस्ते कायदे त्यांच्यासाठी एक विनोद आहेत आणि अनधिकृत सॉफ्टवेअरबद्दल ही शिफारस न ऐकणे देखील एक मार्ग आहे. नाश त्यामुळे भ्रष्ट मानसिकतेला नाही तर चालेल ;)
मी रस्ते कायदे समाविष्ट करणार नाही, दुर्दैवाने ते आमचे रस्ते अधिक सुरक्षित करण्यासाठी लिहिलेले नाहीत, परंतु महापालिका पोलिसांना पाठिंबा देण्यासाठी आणि महापालिकेच्या तिजोरीत गेल्यास उत्पन्नाचे समर्थन करण्यासाठी लिहिलेले आहेत :((((
पण इथे ती चर्चा नाहीये :)
मला लोकांच्या मानसिकतेत अधिक रस आहे, विशेषत: झेक प्रजासत्ताकातील. सिगारेटच्या 1 पॅकऐवजी त्यांनी प्रत्येकी 90 सेंट्ससाठी 4 ॲप्स विकत घेतल्या आणि अनधिकृत स्त्रोतांकडून डाउनलोड केले नाहीत आणि त्यांचे iPhone जेलब्रेक केले नाहीत, तर त्यांना त्यांचे महागडे डिव्हाइस गमावल्याबद्दल रडावे लागणार नाही :)
अर्थात, हा संपूर्ण धागा निरर्थक भविष्यवाणीला प्रतिसाद म्हणून तयार केला गेला आहे: "जॉब्सच्या मृत्यूपासून, सर्व काही ठीक चालले आहे आणि विशेषत: यावर्षी"
मला फक्त तुलना आवडली नाही. गेल्या 2 वर्षात, माझ्या मित्रांचे आभार, मी या विषयात अडकलो आणि तिथे काय चालले आहे ते मला आवडत नाही आणि कधीकधी ते खरोखरच घृणास्पद असते :(
मी कबूल करतो की फोरमवर पोस्ट केलेला माझा प्रतिसाद कदाचित रागाच्या भरात आला असेल, पण तो मीच आहे, मी कोणत्याही फ्रिल्सशिवाय थेट मुद्द्यापर्यंत पोहोचतो आणि मला उत्तेजित होण्याची प्रवृत्ती नाही, मी फक्त माझे मत लिहितो. दुर्दैवाने, काहीवेळा मला असे वाटते की मी माझे मत समजण्याजोगे लिहिले आहे, परंतु लोकांना मला काय म्हणायचे आहे हे माहित नाही :(
मला आधी मानसिकतेशी साधर्म्य समजले होते, परंतु मला वाटते की हे नवीन साधर्म्य (बॉक्स बद्दल, परंतु 4x अनुप्रयोगांबद्दल नाही) अधिक अचूक आहे.
नोकरी जोडा: मला वाटते Apple सध्या शोधत आहे. त्यांच्याकडे S.Jobs सारखा नेता नसला तरी ते इतके वाईट नाहीत. त्यांच्याकडे बरेच अनुभवी आणि हुशार लोक आहेत जे मनोरंजक गोष्टींसह येऊ शकतात, परंतु यास वेळ लागतो. वैयक्तिकरित्या, मला वाटते की आज ऍपल आणि ऍपल ची तुलना S. जॉब्स बरोबर त्याच्या जाण्याच्या 10 वर्षांनंतर करणे शक्य होईल, तोपर्यंत हे फक्त ओरडणे आहे, परंतु ते फक्त माझे मत आहे...
पूर्णपणे सहमत ;)
त्यांच्याकडे पूर्वी सुरक्षा छिद्रे होती आणि यापेक्षा खूपच लक्षणीय होती... उदाहरणार्थ, त्यांनी OSX 10.5 मध्ये ASLR स्तर जोडला, परंतु तो फक्त 10.7 मध्ये पूर्णपणे कार्य करत होता (जर मी आवृत्ती तयार करताना चुकले नाही तर), विधान शोधा सुरक्षा तज्ञ दिनो दाई झोवी. अलीकडील बग्ससाठी, हार्टब्लीड, शेल शॉकवर माहिती शोधा…
तुम्ही लिनक्स, विंडोज, ओएसएक्स, क्रोम वापरत असलात तरीही सिक्युरिटी बग, होते, आहेत आणि असतील. ते टाळू शकत नाही आणि जर तुम्ही म्हणाल की एखादी प्रणाली "त्रुटीविरहित" आहे (जसे मी लिनक्सबद्दल एकदा सांगितले होते), तर तुम्ही तुमच्या खिशात खोटे बोलत आहात...
तसे, जर तुम्हाला घाबरायचे असेल तर, या वर्षीच्या ब्लॅक हॅट सुरक्षा परिषदेबद्दल माहिती मिळवा आणि USB फर्मवेअर असुरक्षांवरील व्याख्याने पहा, ही देखील एक बॉम्ब गोष्ट आहे :)
अनामिक : ते पुन्हा बकवास आहे, ते मला सोबोटकाची आठवण करून देते. मी दुसऱ्या प्लॅटफॉर्मवर स्विच करण्याची आणि S.Jobs संपल्यावर iOS आणि Mac OS मधून मुक्त होण्याची शिफारस करतो. मग तुझं समाधान होईल.
आणि सर्वात जेलब्रोकन डिव्हाइसवर, ते AppStore व्यतिरिक्त कोठूनही अनुप्रयोग स्थापित करतात?
मलाही त्यात रस असेल. कारण मी माझ्या iOS मध्ये AppStore व्यतिरिक्त अनुप्रयोग स्थापित करण्याची शक्यता कधीही पाहिली नाही. जेव्हा त्या व्हिडिओमध्ये "इंस्टॉल" पॉप अप झाला, तेव्हा मी तो कधीही पाहिला नाही.
होय, तुमच्याकडे फक्त एंटरप्राइझ प्रमाणपत्रासह अर्जावर स्वाक्षरी असणे आवश्यक आहे, त्यानंतर ते अशा प्रकारे स्थापित केले जाऊ शकते.
तुरूंगातून निसटल्याशिवाय काम होत नाही. किंवा दुवा पाठवा आणि मी अशा प्रकारे जेलब्रेक न करता माझ्या आयफोनवर अनुप्रयोग स्थापित करण्याचा प्रयत्न करेन.
लुकास पाल्डा बरोबर आहे. हे शक्य आहे, परंतु काही टेक ॲप्लिकेशन्स आहेत किंवा ते इतके रुचीपूर्ण नाहीत की तुम्हाला त्यांच्याबद्दल माहिती नाही, परंतु ते केले जाऊ शकते :)
तर फक्त Storu डाउनलोड करा आणि समस्या संपली
सर्वांना नमस्कार... माझ्या मते आणि लेखानुसार, नेटशी कनेक्ट केलेली इतर उपकरणे वापरताना मूलभूत नियमांचे पालन करणे पुरेसे आहे (ते iOS, Android, WIN, इ. असो.) = वर क्लिक करू नका अज्ञात प्रेषकांकडील संलग्नक, युक्त्या खेळू नका आणि अनुभवी "हॅकर" खेळू नका, संशयास्पद फायली डाउनलोड करू नका... मी "गॉसिप" novinky.cz वर असाच एक लेख वाचला आणि जर एखाद्याला कोणत्याही कंपनीला हानी पोहोचवायची असेल तर ते मार्ग शोधा...
ज्यांना वाटते की जेलब्रेक न करणे आणि केवळ AppStore वरून स्थापित करणे पुरेसे आहे:
http://www.fireeye.com/blog/technical/cyber-exploits/2014/11/masque-attack-all-your-ios-apps-belong-to-us.html
परिच्छेदातून: "iOS वापरकर्ते तीन चरणांचे अनुसरण करून मास्क हल्ल्यांपासून स्वतःचे संरक्षण करू शकतात: ...".
सारांश: ई-मेल किंवा एसएमएसमधील लिंकवर क्लिक केल्यानंतर, "इंस्टॉल" (किंवा ट्रस्ट डेव्हलपर) पर्यायासह एक डायलॉग बॉक्स देखील तुम्हाला दिसू शकतो. हेच खरे तर या समस्येचे सार आहे.
तुम्हाला वाटेल की तुम्ही लिंकवर क्लिक करत नसून तुमचे मित्र, कुटुंब इ. आहेत. त्यांना तुमच्यासारखे IT चे ज्ञान असण्याची गरज नाही, आणि म्हणून त्यांना "Install" वर क्लिक न करण्याची सूचना देणे उचित आहे.
___
मी root.cz वरून पदभार स्वीकारला