Ayer publicamos en Actualidad iPhone que se había detectado un problema de seguridad grave que afecta a dispositivos que usan sistemas los operativos iOS y OS X. El problema XARA નામ આપવામાં આવ્યું છે, અનધિકૃત ક્રોસ-એપ્લિકેશન સ્રોત Accessક્સેસ (X હું ધારે છે તે "ક્રોસ" માટે છે) અને આઇક્લાઉડ કીચેન પર લક્ષ્ય રાખ્યું છે, ઓએસ એક્સના કિસ્સામાં ખાસ ચિંતાનું કેન્દ્ર છે. Appleપલને આ બગને ઠીક કરવાની જરૂર છે, પરંતુ તમારે ક્યાં ગભરાવાની જરૂર નથી.
આ લેખમાં આપણે સમજાવવાનો પ્રયત્ન કરીશું XARA વિશે બધું, તે શું કરે છે, તે શું અસર કરે છે અને દૂષિત વપરાશકર્તાને અમારી આઇક્લાઉડ કીચેન્સને fromક્સેસ કરવાથી અટકાવવા આપણે શું કરી શકીએ છીએ.
[અપડેટ 20/6/2015] Appleપલ XARA વિશે વાત કરે છે:
"આ અઠવાડિયાની શરૂઆતમાં અમે સર્વર પર એપ્લિકેશનના રૂપમાં એક સુરક્ષા અપડેટ ઉમેર્યું છે જે એપ્લિકેશન ડેટાને સુરક્ષિત કરે છે અને મ Appક એપ સ્ટોરમાંથી સેન્ડબોક્સ ગોઠવણી સમસ્યાઓવાળા એપ્લિકેશનોને અવરોધિત કરે છે." તેઓએ એક ક્વેરીનો જવાબ પણ આપતાં કહ્યું કે "અમારી પાસે વધુ પેચો પ્રગતિમાં છે અને અમે પરિસ્થિતિમાં સમસ્યાને પહોંચી વળવા સંશોધકો સાથે કામ કરી રહ્યા છીએ."
XARA શું છે?
XARA એ એક જ નામ છે જેનો શબ્દ સમાન શબ્દોમાં એક થવા માટે થાય છે કાયદેસર એપ્લિકેશન દ્વારા સલામત માહિતીની gainક્સેસ મેળવવા માટે દૂષિત એપ્લિકેશનનો ઉપયોગ કરનારા શોષણ જૂથ. તેઓ આને "મેન-ઇન-ધ-મિડલ" પદ્ધતિનો ઉપયોગ કરીને કરે છે, જેનો અર્થ એ કે તેઓ અમારી વચ્ચે છે અને કાયદેસર સર્વર ફિશિંગનો ઉપયોગ કરીને અમને અમારી ઓળખપત્રો આપવા માટે તેમને યુક્તિ આપે છે.
XARA નું લક્ષ્ય શું છે?
ઓએસ એક્સ પર, XARA એ લક્ષ્ય રાખ્યું છે આઇક્લાઉડ કીચેન ડેટાબેસ (આઇક્લાઉડ કીચેન), જ્યાં અમે અમારા વપરાશકર્તાઓ અને પાસવર્ડો સંગ્રહિત કરીએ છીએ; વેબસોકેટ, એપ્લિકેશનો અને સેવાઓ સાથે સંકળાયેલ સંદેશાવ્યવહાર ચેનલ; અને પેકેજ ઓળખકર્તા, જે ફક્ત સેન્ડબોક્સ એપ્લિકેશનોને ઓળખે છે અને લક્ષ્ય ડેટા કન્ટેનર તરીકે ઉપયોગ કરી શકાય છે.
આઇઓએસ પર, XARA એ URL યોજનાઓને લક્ષ્યાંકિત કરે છે. URL ચોરી એ operatingપરેટિંગ સિસ્ટમની નબળાઈ નથી. જો ઇચ્છિત કાર્યક્ષમતા પ્રાપ્ત કરવા માટે સત્તાવાર સુરક્ષા મિકેનિઝમ જગ્યાએ ન હોય તો તેનો ઉપયોગ કરી શકાય છે. એવું લાગે છે કે આઇઓએસમાં નિષ્ફળતા એટલી ગંભીર નથી કારણ કે તેનું એક્સપોઝર વધુ મર્યાદિત છે.
શોષણનું વિતરણ કેવી રીતે થાય છે?
સુરક્ષા સંશોધકોએ એપ્લિકેશનો બનાવી અને તેને એપ એપ સ્ટોર અને એપ સ્ટોર પર અપલોડ કરી. ઓએસ એક્સના કિસ્સામાં, તે બીજી વેબસાઇટ દ્વારા પણ વિતરિત કરી શકાય છે અને જો આપણે સિસ્ટમ પસંદગીઓથી તેને ગોઠવીએ તો અમે તેમને ઇન્સ્ટોલ કરી શકીએ છીએ.
એપ્લિકેશન સ્ટોર્સ દૂષિત વર્તન છે કે નહીં તે ઓળખવાનો પ્રયાસ કરે છે. જો તેઓ Storeપ સ્ટોરમાં આવા વર્તનને શોધી કા ,ે છે, જેમ કે XARA ની જેમ જ, ભવિષ્યમાં સમીક્ષાઓ માટે આ એપ્લિકેશનનો ઉપયોગ ભવિષ્યમાં એપ સ્ટોરને fromક્સેસ કરવાથી અટકાવવા માટે કરવામાં આવે છે. તેથી એપ સ્ટોર સાથે કોઈ બાંધછોડ કરવામાં આવી ન હતી.
આ એપ્લિકેશનો કેવી રીતે કાર્ય કરશે?
સરળ શબ્દોમાં કહીએ તો, તેઓ માહિતીના વિનિમયની વચ્ચે અથવા સેન્ડબોક્સ એપ્લિકેશનમાં મધ્યસ્થી તરીકે કાર્ય કરે છે. તેઓ શું કરે છે તે રાહ જુઓ અને ઉપયોગ કરવાની પ્રતીક્ષામાં "તેમની આંગળીઓ પાર કરો". જો આ કેસ ન હોય તો, તેઓ કંઈપણ કરી શકતા નથી.
ઓએસ એક્સ આઈક્લાઉડ કીચેઇનના કિસ્સામાં, તમે ઓળખપત્રોને પૂર્વ-નોંધણી કરી શકો છો અથવા કા deleteી શકો છો અને ફરીથી નોંધણી કરી શકો છો. વેબસોકેટ્સ સાથે, તમે પૂર્વ-ખાલી કોઈ બંદર પર કબજો કરી શકો છો. પેકેજ ઓળખકર્તાઓ સાથે, તમે કાયદેસર એપ્લિકેશનોની controlક્સેસ નિયંત્રણ સૂચિમાં દૂષિત સબટર્જેટ્સ ઉમેરી શકો છો.
આઇઓએસ પર, તમે ફક્ત કાયદેસર URL ને હાઇજેક કરી અને ફિશિંગ કરી શકો છો.
કયા પ્રકારનો ડેટા જોખમમાં છે?
આઇક્લાઉડ કીચેન ડેટા, વેબસોકેટ અને યુઆરએલ.
XARA ને રોકવા માટે શું કરી શકાય?
શ્રેષ્ઠ એવી સિસ્ટમ હશે જેમાં તમામ સંભવિત સંદેશાવ્યવહારમાં એપ્લિકેશનો સુરક્ષિત રીતે પ્રમાણિત કરવામાં આવશે. તે એપલનું કામ છે.
જો આપણે જોયું કે આપણી કીચેન પર કંઈક કા hasી નાખવામાં આવ્યું છે, તો આપણે વિચારી શકીએ છીએ કે તે નિષ્ફળતા છે, પરંતુ જો આપણે કોઈ રેકોર્ડ જોયો નથી જે આપણે બનાવ્યું નથી, તો તે એક લક્ષણ છે કે કોઈએ તેને hadક્સેસ કરી છે.
Appleપલે સિસ્ટમને અપડેટ કરવી પડશે, તે સૌથી મહત્વની વસ્તુ છે. અને તમારે તે શક્ય તેટલું જલ્દી કરવું પડશે.
શું મારા ડેટાને અટકાવવામાં આવ્યું છે કે કેમ તે જાણવું શક્ય છે?
આઇઓએસ પર, કાયદેસર એપ્લિકેશન પર આગળ વધતા પહેલાં, આપણે ઓછામાં ઓછા એક ઝટપટ માટે બનાવટી એપ્લિકેશન જોવી આવશ્યક છે. જો આપણે નિષ્ફળતાની શોધમાં છીએ, તો અમે નોંધ કરીશું, પરંતુ જો નહીં, તો તે મુશ્કેલ હશે.
XARA શા માટે પ્રકાશિત કરવામાં આવ્યો?
ગયા વર્ષે તપાસ કરનારાઓને આ ખામી મળી હતી. તેઓએ તેને Appleપલને જાણ કરી અને કerપરટિનો લોકોએ સમસ્યાને દૂર કરવા માટે તેમને ઓછામાં ઓછા 6 મહિના માટે પૂછ્યું. 6 મહિના પછી, સંશોધકોએ તેને જાહેર કર્યું છે.
સૌથી ખરાબ વાત એ છે કે, તે એક બેજવાબદારી છે જે ફક્ત સુરક્ષા સંશોધકો તરીકે પોતાને મહત્વપૂર્ણ બનાવવાની સેવા આપે છે. આવા બગની શોધ કરતી વખતે હું શું કરીશ, તે સુધારાઈ ન થાય ત્યાં સુધી કંપની સાથે કામ કરવાનું છે. પછી, અને માત્ર ત્યારે જ, તે માહિતી પ્રકાશિત કરશે.
વધુમાં, સંશોધનકારોએ તે માન્યતા આપી છે Theyપલ જ્યારે તેઓએ આ મુદ્દાની જાણ કરી ત્યારથી તેના પર કામ કરવામાં આવ્યું છે, તેથી આ સુરક્ષા ખામીના અસ્તિત્વને પ્રકાશિત કરવાથી Appleપલના ધસારોમાં મદદ મળશે નહીં. તે ફક્ત પોતાને પ્રોત્સાહન આપવા અને વપરાશકર્તા ડેટાને જોખમમાં મૂકવામાં મદદ કરશે, કારણ કે હવે કોઈપણ દૂષિત વપરાશકર્તા પ્રકાશિત માહિતીનો ઉપયોગ કરી શકે છે.
બીજી બાજુ, Appleપલે આ સમય દરમિયાન ઘણા વધુ મહત્વપૂર્ણ ભૂલોને ઠીક કર્યા છે. અને તે એવું નથી કે XARA જોખમી નથી, જો તેવું નથી કે તે તેને અગ્રતા આપવાનું જેટલું નથી અથવા આપણને જેવું કરી રહ્યું છે તે ચેતવણી આપવી. શાંત થવા માટેનો ક callલ.
તો આપણે શું કરવું જોઈએ?
XARA એ શોષણનું એક જૂથ છે જે નિશ્ચિત કરવું આવશ્યક છે, પરંતુ Appleપલ દ્વારા તેને સુધારવું આવશ્યક છે. જેમ તેઓ કહે છે iMore, જે આ લેખનો સ્રોત છે, તમારે ગભરાવાની જરૂર નથી, પરંતુ મેક, આઇફોન અથવા આઈપેડના કોઈપણ વપરાશકર્તાને જાણ કરવી જોઈએ. જ્યાં સુધી Appleપલ સમસ્યાને ઠીક કરશે નહીં, ત્યાં સુધી શ્રેષ્ઠ એ સામાન્ય વેપાર છે: શંકાસ્પદ મૂળના એપ્લિકેશનોને ડાઉનલોડ કરશો નહીં. અને મેં બે ઉદાહરણો મુક્યા: જો આપણે એપ સ્ટોરમાંથી કોઈ અજાણ્યા વિકાસકર્તા તરફથી નવી રમત ડાઉનલોડ કરીએ અને તે અમારી કીચેનને toક્સેસ કરવા માટે અમારો પાસવર્ડ મૂકવા માટે કહેશે, તો અમે તે કરતા નથી. અને તે જ વપરાશકર્તાઓ કે જેમની પાસે તમારા ઉપકરણ પર જેલબ્રેક છે, પરંતુ આ કિસ્સાઓમાં પણ સત્તાવાર ભંડારના ઝટકોનો ઉપયોગ કરવો મહત્વપૂર્ણ છે.
હંમેશની જેમ, તમારા લેખો ખૂબ ઉદ્દેશ્ય અને રસપ્રદ છે, મેક્સિકો તરફથી શુભેચ્છાઓ!