XARA: आम्हाला माहित असणे आवश्यक असलेली प्रत्येक गोष्ट

काल आम्ही मध्ये प्रकाशित केले Actualidad iPhone que se había detectado un problema de seguridad grave que afecta a dispositivos que usan sistemas los operativos iOS y OS X. El problema XARA christened गेले आहे, अनधिकृत क्रॉस-अॅप रिसोर्स Accessक्सेस (एक्स मी गृहित धरतो "" क्रॉस "साठी आहे) आणि ओक एक्सच्या बाबतीत विशेष चिंतेचा विषय असलेले आयक्लॉड कीचेनवर लक्ष्य ठेवले आहे. Appleपलला हा दोष निराकरण करण्याची आवश्यकता आहे, परंतु आपल्याला घाबरून जाण्याची आवश्यकता नाही.

या लेखात आम्ही स्पष्ट करण्याचा प्रयत्न करू XARA बद्दल सर्व काही, दुर्भावनायुक्त वापरकर्त्यास आमच्या आयक्लॉड कीचेन्समध्ये प्रवेश करण्यापासून प्रतिबंधित करण्यासाठी हे काय करते, त्याचा काय परिणाम होतो आणि काय करू शकतो.

[अद्यतन 20/6/2015] Appleपल XARA बद्दल बोलतो:

"या आठवड्याच्या सुरुवातीला आम्ही सर्व्हरवरील अनुप्रयोगाच्या रूपात एक सुरक्षा अद्यतन जोडला आहे जो अनुप्रयोग डेटा सुरक्षित करतो आणि मॅक अॅप स्टोअरमधून सँडबॉक्स कॉन्फिगरेशन समस्यांसह अनुप्रयोगांना अवरोधित करतो." त्यांनी आमच्या प्रश्नावर देखील उत्तर दिले की "आमच्याकडे अधिक पॅचेस प्रगतीपथावर आहेत आणि परिस्थितीत समस्या सोडविण्यासाठी आम्ही संशोधकांशी काम करीत आहोत."

XARA म्हणजे काय?

XARA हे समान पदावर एकत्रित होण्यासाठी वापरलेले नाव आहे कायदेशीर अनुप्रयोगाद्वारे सुरक्षित माहितीवर प्रवेश मिळविण्यासाठी दुर्भावनायुक्त अनुप्रयोग वापरणार्‍या शोषणाचा एक गट. ते "मॅन-इन-द-मिडल" पद्धत वापरुन करतात, ज्याचा अर्थ असा आहे की ते आमची ओळखपत्र देण्यास आमची फसवणूक करण्यासाठी फिशिंगचा वापर करून आमच्या दरम्यान आहेत.

एक्सएआरएचे उद्दीष्ट काय आहे?

ओएस एक्स वर, एक्सएआरएचे उद्दीष्ट आहे आयक्लॉड कीचेन डेटाबेस (आयक्लॉड कीचेन), जिथे आम्ही आमचे वापरकर्ते आणि संकेतशब्द संग्रहित करतो; वेबसॉकेट्स, अनुप्रयोगांमधील आणि सेवांशी संबंधित एक संवाद चॅनेल; आणि पॅकेज अभिज्ञापक, जे केवळ सॅन्डबॉक्स अनुप्रयोग ओळखतात आणि लक्ष्य डेटा कंटेनर म्हणून वापरले जाऊ शकतात.

IOS वर, XARA URL योजनांना लक्ष्य करते. URL ची चोरी ही ऑपरेटिंग सिस्टमची असुरक्षा नाही. इच्छित कार्यक्षमता प्राप्त करण्यासाठी अधिकृत सुरक्षा यंत्रणा योग्य ठिकाणी नसल्यास याचा वापर केला जाऊ शकतो. असे दिसते की iOS मध्ये अयशस्वी होणे इतके गंभीर नाही कारण त्याचा संपर्क जास्त मर्यादित आहे.

शोषणांचे वितरण कसे केले जाते?

सुरक्षा संशोधकांनी अनुप्रयोग तयार केले आणि ते मॅक अ‍ॅप स्टोअर आणि अ‍ॅप स्टोअरवर अपलोड केले. ओएस एक्सच्या बाबतीत ते दुसर्‍या वेबसाइटद्वारे देखील वितरित केले जाऊ शकतात आणि आम्ही सिस्टम प्राधान्यांमधून कॉन्फिगर केल्यास आम्ही ते स्थापित करू शकतो.

अॅप स्टोअर दुर्भावनायुक्त वर्तन आहे की नाही हे ओळखण्याचा प्रयत्न करतात. त्यांना अ‍ॅप स्टोअरमध्ये असे वर्तन आढळल्यास, एक्सएआरए प्रमाणेच, भविष्यातील अ‍ॅप स्टोअरमध्ये प्रवेश करण्यापासून रोखण्यासाठी या माहितीचा वापर भविष्यातील पुनरावलोकनांसाठी केला जातो. तर अ‍ॅप स्टोअरमध्ये कोणतीही तडजोड केलेली नाही.

हे अनुप्रयोग कसे कार्य करतात?

थोडक्यात सांगा, ते माहितीची देवाणघेवाण किंवा सँडबॉक्स अनुप्रयोगांमध्ये मध्यस्थ म्हणून कार्य करतात. ते काय करतात ते प्रतीक्षा करतात आणि वापरण्याची वाट पाहत "बोटे पार करा". जर असं नसेल तर ते काहीही करू शकत नाहीत.

ओएस एक्स आयक्लॉड कीचेनच्या बाबतीत, आपण क्रेडेन्शियल्सची पूर्व-नोंदणी किंवा हटविणे आणि पुन्हा नोंदणी करू शकता. वेबसॉकेट्स सह, आपण पूर्व-रित्या बंदर व्यापू शकता. पॅकेज अभिज्ञापकांसह, आपण कायदेशीर अनुप्रयोगांच्या प्रवेश नियंत्रण याद्यांमध्ये दुर्भावनायुक्त सबटाइजेट्स जोडू शकता.

IOS वर, आपण केवळ कायदेशीर URL अपहृत आणि फिशिंग करू शकता.

कोणत्या प्रकारच्या डेटाचा धोका आहे?

आयक्लॉड कीचेन डेटा, वेबसाइट्स आणि यूआरएल.

XARA टाळण्यासाठी काय केले जाऊ शकते?

सर्वोत्तम अशी एक प्रणाली असेल ज्यामध्ये सर्व संभाव्य संप्रेषणांमध्ये अनुप्रयोगांचे सुरक्षितपणे प्रमाणीकरण केले जाईल. हे Appleपलचे काम आहे.

आमच्या कीचेनवर काहीतरी हटवले गेले आहे असे आपल्याला आढळल्यास, आम्ही हे अयशस्वी होऊ शकतो असे आम्हाला वाटू शकते, परंतु जर आपण एखादी नोंद न आढळल्यास ती एखाद्याने प्रवेश केल्याचे लक्षण आहे.

Appleपलला सिस्टम अद्यतनित करावे लागेल, ही सर्वात महत्वाची गोष्ट आहे. आणि आपल्याला ते शक्य तितक्या लवकर करावे लागेल.

माझ्या डेटामध्ये व्यत्यय आला आहे की नाही हे जाणून घेणे शक्य आहे काय?

IOS वर, कायदेशीर अ‍ॅप वर जाण्यापूर्वी आम्हाला कमीतकमी त्वरित बनावट अॅप दिसणे आवश्यक आहे. जर आपण अयशस्वी होण्याकडे पहात असाल तर आपल्या लक्षात येईल, परंतु तसे झाले नाही तर ते अवघड आहे.

XARA का प्रकाशित केले गेले?

गेल्या वर्षी हा दोष शोधकर्त्यांना सापडला होता. त्यांनी Appleपलला हे कळवले आणि कपर्टीनो लोकांनी त्यांना समस्या सोडविण्यासाठी किमान 6 महिने विचारले. 6 महिन्यांनंतर, संशोधकांनी ते सार्वजनिक केले.

सर्वात वाईट म्हणजे ही एक बेजबाबदारपणा आहे जी केवळ सुरक्षितता संशोधक म्हणून स्वत: ला महत्त्वपूर्ण बनविण्याचे काम करते. असे बग शोधताना मी काय करेन हे निश्चित करेपर्यंत कंपनीचे कार्य आहे. मग आणि त्यानंतरच तो माहिती प्रकाशित करेल.

याव्यतिरिक्त, संशोधकांनी हे देखील ओळखले आहे Appleपल जेव्हा त्यांना समस्येबद्दल सांगितले गेले तेव्हापासून त्यावर कार्य करीत आहे, म्हणून या सुरक्षा त्रुटीचे अस्तित्व प्रकाशित करणे Appleपलच्या गर्दीस मदत करणार नाही. हे केवळ स्वत: ची जाहिरात करण्यासाठी आणि वापरकर्त्याचा डेटा धोकादायक ठरेल, कारण आता कोणताही दुर्भावनायुक्त वापरकर्ता प्रकाशित माहिती वापरू शकतो.

दुसरीकडे, Appleपलने यावेळी बरीच महत्त्वपूर्ण बग्स निश्चित केली आहेत. आणि असे नाही की एक्सएआरए धोकादायक नाही, जरी असे नाही की त्यास प्राधान्य देणे किंवा जसे आपण करत आहोत तसे आपल्याला अलार्म करणे इतकेच नाही. शांत होण्यासाठी हाक.

मग आपण काय करावे?

एक्सएआरए हा शोषणांचा एक समूह आहे जो निश्चित करणे आवश्यक आहे, परंतु Appleपलद्वारे निश्चित केले जाणे आवश्यक आहे. जसे ते म्हणतात आयमोर, जे या लेखाचा स्रोत आहे, आपल्याला घाबरून जाण्याची गरज नाही, परंतु मॅक, आयफोन किंवा आयपॅडच्या कोणत्याही वापरकर्त्यास माहिती दिली पाहिजे. Appleपलने समस्येचे निराकरण करेपर्यंत, नेहमीप्रमाणेच व्यवसाय सर्वोत्तम आहे: संशयास्पद मूळचे अनुप्रयोग डाउनलोड करू नका. आणि मी दोन उदाहरणे दिली: जर आम्ही अॅप स्टोअरमधून अज्ञात विकसकाकडून नवीन गेम डाउनलोड केला आणि त्यांनी आमच्या कीचेनवर प्रवेश करण्यासाठी आपला संकेतशब्द ठेवण्यास सांगितले तर आम्ही ते करत नाही. आणि आपल्या डिव्हाइसवर तुरूंगातून निसटणा users्या वापरकर्त्यांसाठी हेच आहे परंतु या प्रकरणांमध्ये देखील अधिकृत रिपॉझिटरीजमधील चिमटा वापरणे महत्वाचे आहे.