XARA: ನಾವು ತಿಳಿದುಕೊಳ್ಳಬೇಕಾದ ಎಲ್ಲವೂ

Ayer publicamos en Actualidad iPhone que se había detectado un problema de seguridad grave que afecta a dispositivos que usan sistemas los operativos iOS y OS X. El problema XARA ಎಂದು ನಾಮಕರಣ ಮಾಡಲಾಗಿದೆ, ಅನಧಿಕೃತ ಕ್ರಾಸ್-ಅಪ್ಲಿಕೇಶನ್ ಸಂಪನ್ಮೂಲ ಪ್ರವೇಶ (ನಾನು "ಕ್ರಾಸ್" ಗಾಗಿ X ಹಿಸುತ್ತೇನೆ) ಮತ್ತು ಓಕ್ ಎಕ್ಸ್ ವಿಷಯದಲ್ಲಿ ನಿರ್ದಿಷ್ಟವಾಗಿ ಕಾಳಜಿ ವಹಿಸುವ ಐಕ್ಲೌಡ್ ಕೀಚೈನ್ ಅನ್ನು ಗುರಿಪಡಿಸುತ್ತದೆ. ಆಪಲ್ ಈ ದೋಷವನ್ನು ಸರಿಪಡಿಸುವ ಅಗತ್ಯವಿದೆ, ಆದರೆ ನೀವು ಭಯಪಡುವ ಅಗತ್ಯವಿಲ್ಲ.

ಈ ಲೇಖನದಲ್ಲಿ ನಾವು ವಿವರಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತೇವೆ XARA ಬಗ್ಗೆ ಎಲ್ಲವೂ, ಅದು ಏನು ಮಾಡುತ್ತದೆ, ಅದು ಏನು ಪರಿಣಾಮ ಬೀರುತ್ತದೆ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಬಳಕೆದಾರರು ನಮ್ಮ ಐಕ್ಲೌಡ್ ಕೀಚೈನ್‌ಗಳನ್ನು ಪ್ರವೇಶಿಸುವುದನ್ನು ತಡೆಯಲು ನಾವು ಏನು ಮಾಡಬಹುದು.

[ಅಪಡೇಟ್ 20/6/2015] ಆಪಲ್ XARA ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತದೆ:

"ಈ ವಾರದ ಆರಂಭದಲ್ಲಿ ನಾವು ಸರ್ವರ್‌ನಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್‌ನ ರೂಪದಲ್ಲಿ ಸುರಕ್ಷತಾ ನವೀಕರಣವನ್ನು ಸೇರಿಸಿದ್ದೇವೆ ಅದು ಅಪ್ಲಿಕೇಶನ್ ಡೇಟಾವನ್ನು ಸುರಕ್ಷಿತಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ಮ್ಯಾಕ್ ಆಪ್ ಸ್ಟೋರ್‌ನಿಂದ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ ಕಾನ್ಫಿಗರೇಶನ್ ಸಮಸ್ಯೆಗಳೊಂದಿಗೆ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ." "ನಮ್ಮಲ್ಲಿ ಹೆಚ್ಚಿನ ಪ್ಯಾಚ್‌ಗಳು ಪ್ರಗತಿಯಲ್ಲಿವೆ ಮತ್ತು ಸಿತುದಲ್ಲಿನ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲು ನಾವು ಸಂಶೋಧಕರೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುತ್ತಿದ್ದೇವೆ" ಎಂಬ ಪ್ರಶ್ನೆಗೆ ಅವರು ಪ್ರತಿಕ್ರಿಯಿಸಿದರು.

XARA ಎಂದರೇನು?

XARA ಎಂಬುದು ಒಂದೇ ಪದದಲ್ಲಿ ಒಂದಾಗಲು ಬಳಸುವ ಹೆಸರು ಕಾನೂನುಬದ್ಧ ಅಪ್ಲಿಕೇಶನ್ ಮೂಲಕ ಸುರಕ್ಷಿತ ಮಾಹಿತಿಯನ್ನು ಪ್ರವೇಶಿಸಲು ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಬಳಸುವ ಶೋಷಣೆಗಳ ಗುಂಪು. ಅವರು "ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್" ವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ಇದನ್ನು ಮಾಡುತ್ತಾರೆ, ಇದರರ್ಥ ಅವರು ನಮ್ಮ ರುಜುವಾತುಗಳನ್ನು ನೀಡುವಂತೆ ನಮ್ಮನ್ನು ಮೋಸಗೊಳಿಸಲು ಫಿಶಿಂಗ್ ಬಳಸುವ ನಮ್ಮ ಮತ್ತು ಕಾನೂನುಬದ್ಧ ಸರ್ವರ್ ನಡುವೆ ಇದ್ದಾರೆ.

XARA ಯ ಗುರಿ ಏನು?

OS X ನಲ್ಲಿ, XARA ಗುರಿ ಹೊಂದಿದೆ ಐಕ್ಲೌಡ್ ಕೀಚೈನ್ ಡೇಟಾಬೇಸ್ (ಐಕ್ಲೌಡ್ ಕೀಚೈನ್), ಅಲ್ಲಿ ನಾವು ನಮ್ಮ ಬಳಕೆದಾರರು ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಸಂಗ್ರಹಿಸುತ್ತೇವೆ; ವೆಬ್‌ಸಾಕೆಟ್‌ಗಳು, ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ನಡುವಿನ ಸಂವಹನ ಚಾನಲ್ ಮತ್ತು ಸೇವೆಗಳಿಗೆ ಸಂಬಂಧಿಸಿವೆ; ಮತ್ತು ಪ್ಯಾಕೇಜ್ ಗುರುತಿಸುವಿಕೆಗಳು, ಇದು ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಮಾತ್ರ ಗುರುತಿಸುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ಗುರಿ ಡೇಟಾ ಕಂಟೇನರ್‌ಗಳಾಗಿ ಬಳಸಬಹುದು.

ಐಒಎಸ್ನಲ್ಲಿ, XARA ಯುಆರ್ಎಲ್ ಸ್ಕೀಮ್ಗಳನ್ನು ಗುರಿಯಾಗಿಸುತ್ತದೆ. URL ಕಳ್ಳತನವು ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ ದುರ್ಬಲತೆಯಲ್ಲ. ಅಪೇಕ್ಷಿತ ಕಾರ್ಯವನ್ನು ಸಾಧಿಸಲು ಅಧಿಕೃತ ಭದ್ರತಾ ಕಾರ್ಯವಿಧಾನವು ಇಲ್ಲದಿದ್ದರೆ ಅದನ್ನು ಬಳಸಬಹುದು. ಐಒಎಸ್ನಲ್ಲಿ ವೈಫಲ್ಯವು ತುಂಬಾ ಗಂಭೀರವಾಗಿಲ್ಲ ಏಕೆಂದರೆ ಅದರ ಮಾನ್ಯತೆ ಹೆಚ್ಚು ಸೀಮಿತವಾಗಿದೆ.

ಶೋಷಣೆಗಳನ್ನು ಹೇಗೆ ವಿತರಿಸಲಾಗುತ್ತದೆ?

ಭದ್ರತಾ ಸಂಶೋಧಕರು ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ರಚಿಸಿದರು ಮತ್ತು ಅವುಗಳನ್ನು ಮ್ಯಾಕ್ ಆಪ್ ಸ್ಟೋರ್ ಮತ್ತು ಆಪ್ ಸ್ಟೋರ್‌ಗೆ ಅಪ್‌ಲೋಡ್ ಮಾಡಿದರು. ಓಎಸ್ ಎಕ್ಸ್‌ನ ಸಂದರ್ಭದಲ್ಲಿ ಅವುಗಳನ್ನು ಮತ್ತೊಂದು ವೆಬ್‌ಸೈಟ್‌ನಿಂದ ವಿತರಿಸಬಹುದು ಮತ್ತು ಸಿಸ್ಟಮ್ ಪ್ರಾಶಸ್ತ್ಯಗಳಿಂದ ನಾವು ಅದನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿದರೆ ನಾವು ಅವುಗಳನ್ನು ಸ್ಥಾಪಿಸಬಹುದು.

ದುರುದ್ದೇಶಪೂರಿತ ವರ್ತನೆ ಇದೆಯೇ ಎಂದು ಗುರುತಿಸಲು ಅಪ್ಲಿಕೇಶನ್ ಸ್ಟೋರ್‌ಗಳು ಪ್ರಯತ್ನಿಸುತ್ತವೆ. XARA ನಂತೆಯೇ ಅವರು ಆಪ್ ಸ್ಟೋರ್‌ನಲ್ಲಿ ಅಂತಹ ನಡವಳಿಕೆಯನ್ನು ಕಂಡುಕೊಂಡರೆ, ಭವಿಷ್ಯದಲ್ಲಿ ಅದೇ ರೀತಿಯ ಶೋಷಣೆಗಳು ಆಪ್ ಸ್ಟೋರ್‌ಗೆ ಪ್ರವೇಶಿಸುವುದನ್ನು ತಡೆಯಲು ಮಾಹಿತಿಯನ್ನು ಭವಿಷ್ಯದ ವಿಮರ್ಶೆಗಳಿಗೆ ಬಳಸಲಾಗುತ್ತದೆ. ಆದ್ದರಿಂದ ಆಪ್ ಸ್ಟೋರ್ ಹೊಂದಾಣಿಕೆ ಮಾಡಿಕೊಂಡಿಲ್ಲ.

ಈ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ?

ಸರಳವಾಗಿ ಹೇಳುವುದಾದರೆ, ಅವರು ಮಾಹಿತಿ ವಿನಿಮಯದ ನಡುವೆ ಅಥವಾ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಮಧ್ಯವರ್ತಿಗಳಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಾರೆ. ಅವರು ಏನು ಮಾಡುತ್ತಾರೆ ಮತ್ತು ಕಾಯಲು "ಬೆರಳುಗಳನ್ನು ದಾಟಲು" ಕಾಯುವುದು. ಇದು ನಿಜವಾಗದಿದ್ದರೆ, ಅವರು ಏನನ್ನೂ ಮಾಡಲು ಸಾಧ್ಯವಿಲ್ಲ.

ಓಎಸ್ ಎಕ್ಸ್ ಐಕ್ಲೌಡ್ ಕೀಚೈನ್ನ ಸಂದರ್ಭದಲ್ಲಿ, ನೀವು ರುಜುವಾತುಗಳನ್ನು ಮೊದಲೇ ನೋಂದಾಯಿಸಬಹುದು ಅಥವಾ ಅಳಿಸಬಹುದು ಮತ್ತು ಮರು ನೋಂದಾಯಿಸಬಹುದು. ವೆಬ್‌ಸಾಕೆಟ್‌ಗಳೊಂದಿಗೆ, ನೀವು ಪೋರ್ಟ್ ಅನ್ನು ಮೊದಲೇ ಖಾಲಿ ಮಾಡಬಹುದು. ಪ್ಯಾಕೇಜ್ ಗುರುತಿಸುವಿಕೆಗಳೊಂದಿಗೆ, ಕಾನೂನುಬದ್ಧ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಪ್ರವೇಶ ನಿಯಂತ್ರಣ ಪಟ್ಟಿಗಳಿಗೆ ನೀವು ದುರುದ್ದೇಶಪೂರಿತ ಸಬ್‌ಟಾರ್ಗೆಟ್‌ಗಳನ್ನು ಸೇರಿಸಬಹುದು.

ಐಒಎಸ್ನಲ್ಲಿ, ನೀವು ಕಾನೂನುಬದ್ಧ URL ಗಳನ್ನು ಮಾತ್ರ ಅಪಹರಿಸಬಹುದು ಮತ್ತು ಫಿಶಿಂಗ್ ಮಾಡಬಹುದು.

ಯಾವ ರೀತಿಯ ಡೇಟಾ ಅಪಾಯದಲ್ಲಿದೆ?

ಐಕ್ಲೌಡ್ ಕೀಚೈನ್ ಡೇಟಾ, ವೆಬ್‌ಸಾಕೆಟ್‌ಗಳು ಮತ್ತು URL ಗಳು.

XARA ಅನ್ನು ತಡೆಯಲು ಏನು ಮಾಡಬಹುದು?

ಎಲ್ಲಾ ಸಂಭಾವ್ಯ ಸಂವಹನಗಳಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಸುರಕ್ಷಿತವಾಗಿ ದೃ ated ೀಕರಿಸುವ ವ್ಯವಸ್ಥೆಯು ಉತ್ತಮವಾಗಿದೆ. ಅದು ಆಪಲ್‌ನ ಕೆಲಸ.

ನಮ್ಮ ಕೀಚೈನ್ನಲ್ಲಿ ಏನನ್ನಾದರೂ ಅಳಿಸಲಾಗಿದೆ ಎಂದು ನಾವು ನೋಡಿದರೆ, ಅದು ವಿಫಲವಾಗಿದೆ ಎಂದು ನಾವು ಭಾವಿಸಬಹುದು, ಆದರೆ ನಾವು ಮಾಡದ ದಾಖಲೆಯನ್ನು ನೋಡಿದರೆ, ಅದು ಯಾರಿಗಾದರೂ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವ ಲಕ್ಷಣವಾಗಿದೆ.

ಆಪಲ್ ಸಿಸ್ಟಮ್ ಅನ್ನು ನವೀಕರಿಸಬೇಕಾಗಿದೆ, ಅದು ಅತ್ಯಂತ ಮುಖ್ಯವಾದ ವಿಷಯ. ಮತ್ತು ನೀವು ಅದನ್ನು ಆದಷ್ಟು ಬೇಗ ಮಾಡಬೇಕು.

ನನ್ನ ಡೇಟಾವನ್ನು ತಡೆಹಿಡಿಯಲಾಗಿದೆಯೇ ಎಂದು ತಿಳಿಯಲು ಸಾಧ್ಯವೇ?

ಐಒಎಸ್ನಲ್ಲಿ, ಕಾನೂನುಬದ್ಧ ಅಪ್ಲಿಕೇಶನ್‌ಗೆ ತೆರಳುವ ಮೊದಲು ನಾವು ನಕಲಿ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಕನಿಷ್ಠ ಒಂದು ಕ್ಷಣ ನೋಡಬೇಕು. ನಾವು ವೈಫಲ್ಯವನ್ನು ಹುಡುಕುತ್ತಿದ್ದರೆ, ನಾವು ಗಮನಿಸುತ್ತೇವೆ, ಆದರೆ ಇಲ್ಲದಿದ್ದರೆ, ಅದು ಕಷ್ಟಕರವಾಗಿರುತ್ತದೆ.

XARA ಅನ್ನು ಏಕೆ ಪ್ರಕಟಿಸಲಾಯಿತು?

ತನಿಖಾಧಿಕಾರಿಗಳು ಕಳೆದ ವರ್ಷ ದೋಷವನ್ನು ಕಂಡುಹಿಡಿದರು. ಅವರು ಅದನ್ನು ಆಪಲ್‌ಗೆ ವರದಿ ಮಾಡಿದರು ಮತ್ತು ಕ್ಯುಪರ್ಟಿನೋ ಜನರು ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲು ಕನಿಷ್ಠ 6 ತಿಂಗಳಾದರೂ ಕೇಳಿದರು. 6 ತಿಂಗಳ ನಂತರ, ಸಂಶೋಧಕರು ಅದನ್ನು ಸಾರ್ವಜನಿಕಗೊಳಿಸಿದ್ದಾರೆ.

ಎಲ್ಲಕ್ಕಿಂತ ಕೆಟ್ಟದ್ದು, ಇದು ಬೇಜವಾಬ್ದಾರಿತನವಾಗಿದ್ದು ಅದು ಭದ್ರತಾ ಸಂಶೋಧಕರಾಗಿ ತಮ್ಮನ್ನು ತಾವು ಪ್ರಾಮುಖ್ಯತೆ ಪಡೆದುಕೊಳ್ಳಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ. ಅಂತಹ ದೋಷವನ್ನು ಕಂಡುಹಿಡಿಯುವಾಗ ನಾನು ಏನು ಮಾಡುತ್ತೇನೆಂದರೆ ಅದನ್ನು ಸರಿಪಡಿಸುವವರೆಗೆ ಕಂಪನಿಯೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವುದು. ನಂತರ, ಮತ್ತು ಆಗ ಮಾತ್ರ, ಅವರು ಮಾಹಿತಿಯನ್ನು ಪ್ರಕಟಿಸುತ್ತಾರೆ.

ಇದಲ್ಲದೆ, ಸಂಶೋಧಕರು ಅದನ್ನು ಗುರುತಿಸಿದ್ದಾರೆ ಆಪಲ್ ಅವರಿಗೆ ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ತಿಳಿಸಿದಾಗಿನಿಂದ ಅದರ ಮೇಲೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿದೆ, ಆದ್ದರಿಂದ ಈ ಭದ್ರತಾ ನ್ಯೂನತೆಯ ಅಸ್ತಿತ್ವವನ್ನು ಪ್ರಕಟಿಸುವುದು ಆಪಲ್ ವಿಪರೀತಕ್ಕೆ ಸಹಾಯ ಮಾಡುವುದಿಲ್ಲ. ಇದು ಸ್ವತಃ ಉತ್ತೇಜಿಸಲು ಮತ್ತು ಬಳಕೆದಾರರ ಡೇಟಾವನ್ನು ಅಪಾಯಕ್ಕೆ ತಳ್ಳಲು ಮಾತ್ರ ಸಹಾಯ ಮಾಡುತ್ತದೆ, ಏಕೆಂದರೆ ಈಗ ಯಾವುದೇ ದುರುದ್ದೇಶಪೂರಿತ ಬಳಕೆದಾರರು ಪ್ರಕಟಿಸಿದ ಮಾಹಿತಿಯನ್ನು ಬಳಸಬಹುದು.

ಮತ್ತೊಂದೆಡೆ, ಈ ಸಮಯದಲ್ಲಿ ಆಪಲ್ ಇನ್ನೂ ಹಲವು ಪ್ರಮುಖ ದೋಷಗಳನ್ನು ಪರಿಹರಿಸಿದೆ. ಮತ್ತು XARA ಅಪಾಯಕಾರಿ ಅಲ್ಲ, ಆದರೆ ಅದನ್ನು ಆದ್ಯತೆ ನೀಡುವುದು ಅಥವಾ ನಾವು ಮಾಡುತ್ತಿರುವಾಗ ನಮ್ಮನ್ನು ಎಚ್ಚರಿಸುವುದು ಅಷ್ಟಿಷ್ಟಲ್ಲ. ಶಾಂತಗೊಳಿಸುವ ಕರೆ.

ಹಾಗಾದರೆ ನಾವು ಏನು ಮಾಡಬೇಕು?

XARA ಎನ್ನುವುದು ಶೋಷಣೆಗಳ ಗುಂಪಾಗಿದ್ದು ಅದನ್ನು ಸರಿಪಡಿಸಬೇಕು, ಆದರೆ ಆಪಲ್ ಅದನ್ನು ಸರಿಪಡಿಸಬೇಕು. ಅವರು ಹೇಳಿದಂತೆ iMore, ಇದು ಈ ಲೇಖನದ ಮೂಲವಾಗಿದೆ, ನೀವು ಭಯಪಡಬೇಕಾಗಿಲ್ಲ, ಆದರೆ ಮ್ಯಾಕ್, ಐಫೋನ್ ಅಥವಾ ಐಪ್ಯಾಡ್‌ನ ಯಾವುದೇ ಬಳಕೆದಾರರಿಗೆ ಮಾಹಿತಿ ನೀಡಬೇಕು. ಆಪಲ್ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸುವವರೆಗೆ, ಎಂದಿನಂತೆ ಉತ್ತಮ ವ್ಯವಹಾರವಾಗಿದೆ: ಸಂಶಯಾಸ್ಪದ ಮೂಲದ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಬೇಡಿ. ಮತ್ತು ನಾನು ಎರಡು ಉದಾಹರಣೆಗಳನ್ನು ನೀಡಿದ್ದೇನೆ: ನಾವು ಆಪ್ ಸ್ಟೋರ್‌ನಿಂದ ಅಪರಿಚಿತ ಡೆವಲಪರ್‌ನಿಂದ ಹೊಸ ಆಟವನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಿದರೆ ಮತ್ತು ನಮ್ಮ ಕೀಚೈನ್‌ಗೆ ಪ್ರವೇಶಿಸಲು ನಮ್ಮ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಹಾಕುವಂತೆ ಅವರು ಕೇಳಿದರೆ, ನಾವು ಅದನ್ನು ಮಾಡುವುದಿಲ್ಲ. ಮತ್ತು ನಿಮ್ಮ ಸಾಧನದಲ್ಲಿ ಜೈಲ್ ಬ್ರೇಕ್ ಹೊಂದಿರುವ ಬಳಕೆದಾರರಂತೆಯೇ ಇರುತ್ತದೆ, ಆದರೆ ಈ ಸಂದರ್ಭಗಳಲ್ಲಿಯೂ ಸಹ ಅಧಿಕೃತ ಭಂಡಾರಗಳಿಂದ ಟ್ವೀಕ್‌ಗಳನ್ನು ಬಳಸುವುದು ಮುಖ್ಯ.